Ngày 27 tháng 3 năm 2023Ravie LakshmananQuyền riêng tư / Bảo mật Windows
Microsoft đã phát hành một bản cập nhật ngoài băng tần để giải quyết lỗ hổng xâm phạm quyền riêng tư trong công cụ chỉnh sửa ảnh chụp màn hình dành cho Windows 10 và Windows 11.
Vấn đề, mệnh danh aCropalypsecó thể cho phép các tác nhân độc hại khôi phục các phần ảnh chụp màn hình đã chỉnh sửa, có khả năng tiết lộ thông tin nhạy cảm có thể đã bị cắt bỏ.
Được theo dõi dưới dạng CVE-2023-28303
“Mức độ nghiêm trọng của lỗ hổng này là Thấp vì việc khai thác thành công đòi hỏi sự tương tác của người dùng không phổ biến và một số yếu tố nằm ngoài tầm kiểm soát của kẻ tấn công”, Microsoft cho biết trong một lời khuyên được đưa ra vào ngày 24 tháng 3 năm 2023.
Khai thác thành công yêu cầu phải đáp ứng hai điều kiện tiên quyết sau –
Người dùng phải chụp ảnh màn hình, lưu nó vào một tệp, sửa đổi tệp (ví dụ: cắt nó), sau đó lưu tệp đã sửa đổi vào cùng một vị trí. Người dùng phải mở một hình ảnh trong Snipping Tool, sửa đổi tệp (ví dụ: cắt ảnh), sau đó lưu tệp đã sửa đổi vào cùng một vị trí.
Tuy nhiên, nó không ảnh hưởng đến các tình huống trong đó hình ảnh được sao chép từ Công cụ Snipping hoặc được sửa đổi trước khi lưu hình ảnh đó.
“Nếu bạn chụp ảnh màn hình bảng sao kê ngân hàng của mình, lưu nó vào máy tính để bàn và cắt bỏ số tài khoản của bạn trước khi lưu vào cùng một vị trí, hình ảnh đã cắt vẫn có thể chứa số tài khoản của bạn ở định dạng ẩn mà ai đó có thể khôi phục được người có quyền truy cập vào tệp hình ảnh hoàn chỉnh,” Microsoft giải thích.
“Tuy nhiên, nếu bạn sao chép hình ảnh đã cắt từ Snipping Tool và dán vào email hoặc tài liệu, dữ liệu ẩn sẽ không được sao chép và số tài khoản của bạn sẽ an toàn.”
Lỗ hổng đã được xử lý trong phiên bản 10.2008.3001.0 của Snip and Sketch được cài đặt trên Windows 10 và phiên bản 11.2302.20.0 của Snipping Tool được cài đặt trên Windows 11.
aCropalypse lần đầu tiên được đưa ra ánh sáng vào ngày 18 tháng 3 năm 2022, khi người ta phát hiện ra rằng một lỗi trong công cụ Đánh dấu của google pixel khiến nó có thể đảo ngược trở về trước các thay đổi được đưa vào ảnh chụp màn hình, nhờ đó khôi phục thông tin cá nhân từ các ảnh chụp màn hình và hình ảnh đã được chỉnh sửa, bao gồm cả những ảnh đã được chỉnh sửa. đã cắt xén hoặc che nội dung của chúng.
Các kỹ sư đảo ngược Simon Aarons và David Buchanan được cho là đã phát hiện ra vấn đề.
Lỗ hổng nghiêm trọng liên quan đến Pixel, được theo dõi là CVE-2023-21036, đã được báo cáo cho Google vào ngày 2 tháng 1 năm 2023 và đã được sửa thông qua bản cập nhật phát hành vào ngày 6 tháng 3 năm 2023 cho Pixel 4A, 5A, 7 và 7 Pro thiết bị.
Thiếu sót đã tồn tại kể từ khi phát hành tiện ích Đánh dấu với Android 9 Pie vào năm 2018 và những hình ảnh đã được chia sẻ trong 5 năm qua dễ bị tấn công Acropalypse, làm dấy lên lo ngại về quyền riêng tư.
“Bạn có thể vá nó, nhưng bạn không thể dễ dàng hủy chia sẻ tất cả những hình ảnh dễ bị tổn thương mà bạn có thể đã gửi,” Buchanan nói trong một tweet, mô tả nó là một “hình ảnh tồi tệ”.
Một vấn đề tương tự với việc cắt xén có thể đảo ngược gần đây cũng đã được tiết lộ trong Google Tài liệu, cho phép người dùng có quyền truy cập chỉ xem để khôi phục các phiên bản gốc của hình ảnh đã cắt trong tài liệu được chia sẻ mà không có quyền chỉnh sửa để làm như vậy.
