微软发布了一个带外更新,以解决其 Windows 10 和 Windows 11 屏幕截图编辑工具中的隐私缺陷。
这个被称为aCropalypse的问题可能使恶意行为者能够恢复屏幕截图的编辑部分,从而可能泄露可能已被裁剪掉的敏感信息。
该漏洞被追踪为CVE-2023-28303,在 CVSS 评分系统中的评级为 3.3。它会影响 Windows 10 上的 Snip & Sketch 应用程序和 Windows 11 上的截图工具。
微软在 2023 年 3 月 24 日发布的公告中表示:“此漏洞的严重性为低,因为成功利用需要不常见的用户交互和攻击者无法控制的几个因素。”
成功利用需要满足以下两个先决条件——
用户必须截取屏幕截图,将其保存到文件中,修改文件(例如,裁剪它),然后将修改后的文件保存到同一位置。
用户必须在 Snipping Tool 中打开图像,修改文件(例如裁剪),然后将修改后的文件保存到同一位置。
但是,它不会影响从截图工具复制图像或在保存之前修改图像的情况。
“如果您截取银行对帐单的屏幕截图,将其保存到桌面,并在将其保存到同一位置之前裁剪出您的帐号,则裁剪后的图像仍可能包含您的帐号,其格式可能会被他人恢复谁有权访问完整的图像文件,”微软解释说。
“但是,如果您从 Snipping Tool 复制裁剪后的图像并将其粘贴到电子邮件或文档中,则隐藏数据不会被复制,您的帐号将是安全的。”
该漏洞已在 Windows 10 上安装的 Snip and Sketch 10.2008.3001.0 版和 Windows 11 上安装的 Snip Tool 11.2302.20.0 版应用内解决。
aCropalypse 于 2022 年 3 月 18 日首次曝光,当时发现Google Pixel 的标记工具中的一个错误使得可以追溯撤销对屏幕截图的更改,从而从编辑的屏幕截图和图像中恢复个人信息,包括那些已经被删除的屏幕截图和图像裁剪或掩盖其内容。
发现问题的人是逆向工程师 Simon Aarons 和 David Buchanan。
与 Pixel 相关的高危漏洞(编号为 CVE-2023-21036)已于 2023 年 1 月 2 日报告给 Google,并已通过 2023 年 3 月 6 日针对 Pixel 4A、5A、7 和 7 Pro 发布的更新修复设备。
自 2018 年 Android 9 Pie 发布标记实用程序以来,这个缺点就一直存在,并且在过去五年中已经共享的图像容易受到 Acropalypse 攻击,引发可能的隐私问题。
“你可以修补它,但你不能轻易取消分享你可能发送的所有易受攻击的图像,”布坎南在一条推文中说,并将其描述为“糟糕的图像”。
