Microsoft, Windows 10 ve Windows 11 için ekran görüntüsü düzenleme aracında gizliliği bozan bir kusuru gidermek için bant dışı bir güncelleme yayınladı.
bu sorundublajlı aKropalipskötü niyetli aktörlerin ekran görüntülerinin düzenlenmiş bölümlerini kurtarmasını sağlayarak, kırpılmış olabilecek hassas bilgileri potansiyel olarak ortaya çıkarabilir.
şu şekilde izlendi: CVE-2023-28303, güvenlik açığı CVSS puanlama sisteminde 3,3 olarak derecelendirilmiştir. Hem Windows 10’daki Snip & Sketch uygulamasını hem de Windows 11’deki Snipping Tool’u etkiler.
Microsoft, 24 Mart 2023’te yayınlanan bir danışma belgesinde, “Bu güvenlik açığının önem derecesi Düşük çünkü başarılı bir şekilde yararlanma, alışılmadık bir kullanıcı etkileşimi ve saldırganın kontrolü dışında çeşitli faktörler gerektiriyor.”
Başarılı bir kullanım, aşağıdaki iki ön koşulun karşılanmasını gerektirir –
- Kullanıcının bir ekran görüntüsü alması, onu bir dosyaya kaydetmesi, dosyayı değiştirmesi (örneğin, kırpması) ve ardından değiştirilen dosyayı aynı konuma kaydetmesi gerekir.
- Kullanıcının Ekran Alıntısı Aracında bir görüntü açması, dosyayı değiştirmesi (örneğin, kırpması) ve ardından değiştirilen dosyayı aynı konuma kaydetmesi gerekir.
Ancak, bir görüntünün Ekran Alıntısı Aracından kopyalandığı veya kaydedilmeden önce değiştirildiği senaryoları etkilemez.
“Banka ekstrenizin ekran görüntüsünü alıp masaüstünüze kaydedin ve aynı konuma kaydetmeden önce hesap numaranızı kırpın, kırpılan görüntü hesap numaranızı gizli bir biçimde içerebilir ve birileri tarafından kurtarılabilir. görüntü dosyasının tamamına kimin erişimi var,” diye açıklıyor Microsoft.
“Ancak, Snipping Tool’dan kırpılan görüntüyü kopyalayıp bir e-postaya veya belgeye yapıştırırsanız, gizli veriler kopyalanmayacak ve hesap numaranız güvende olacaktır.”
Güvenlik açığı, Windows 10’da yüklü Snip and Sketch’in 10.2008.3001.0 sürümü ve Windows 11’de yüklü Snipping Tool’un 11.2302.20.0 sürümü uygulama içi giderildi.
aCropalypse ilk olarak 18 Mart 2022’de, Google Pixel’in İşaretleme aracındaki bir hatanın ekran görüntülerinde yapılan değişiklikleri geriye dönük olarak tersine çevirmeyi mümkün kıldığı ve böylece düzeltilmiş ekran görüntülerinden ve görüntülerden kişisel bilgileri kurtardığı keşfedildiğinde ortaya çıktı. kırpılmış veya içerikleri maskelenmiş.
Sorunu keşfeden kişiler tersine mühendisler Simon Aarons ve David Buchanan’dır.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
CVE-2023-21036 olarak izlenen Pixel ile ilgili yüksek önem dereceli kusur, 2 Ocak 2023’te Google’a bildirildi ve 6 Mart 2023’te Pixel 4A, 5A, 7 ve 7 Pro için yayınlanan bir güncellemeyle düzeltildi. cihazlar.
Bu eksiklik, 2018’de Android 9 Pie ile İşaretleme yardımcı programının piyasaya sürülmesinden bu yana devam ediyor ve son beş yılda zaten paylaşılan görüntüler Acropalypse saldırısına karşı savunmasız durumda ve bu da olası gizlilik endişelerini artırıyor.
Buchanan, “Yama yapabilirsiniz, ancak göndermiş olabileceğiniz tüm savunmasız görüntülerin paylaşımını kolayca geri alamazsınız.” söz konusu bir tweet’te bunu “kötü” olarak tanımlıyor.
Tersine çevrilebilir kırpmayla ilgili benzer bir sorun yakın zamanda Google Dokümanlar’da da açıklandı ve salt görüntüleme erişimine sahip kullanıcıların, bunu yapmak için düzenleme izinlerine sahip olmadan paylaşılan belgelerdeki kırpılmış resimlerin orijinal sürümlerini kurtarmasına izin verdi.