Microsoft ordnet CVE dem Fehler im Snipping Tool zu und schiebt den Patch in den Store

Microsoft ordnet CVE dem Fehler im Snipping Tool zu und schiebt den Patch in den Store

Zeitstempel: 27. März 2023, 3:59 Uhr
Quellknoten: 2546489
by Paul Ducklin

Letzte Woche war aKropalypse Woche, in der ein Fehler in der Google Pixel-App zum Zuschneiden von Bildern Schlagzeilen machte, und das nicht nur, weil er einen verrückten Namen hatte.

(Wir haben uns die Meinung gebildet, dass der Name ein bisschen OTT ist, aber wir geben zu, dass wir ihn, wenn wir selbst darauf gekommen wären, allein wegen seines Wortspielwerts verwenden wollten, auch wenn es sich herausstellt schwerer auszusprechen, als Sie vielleicht denken.)

Der Fehler war die Art von Programmierfehler, den jeder Programmierer hätte machen können, aber den viele Tester möglicherweise übersehen haben:

Tools zum Zuschneiden von Bildern sind sehr praktisch, wenn Sie unterwegs ein spontanes Foto teilen möchten, vielleicht mit einer Katze, oder einen amüsanten Screenshot, vielleicht mit einem verrückten Posting in sozialen Medien oder einer bizarren Anzeige, die auf einer Website aufgetaucht ist .

Aber schnell gemachte Bilder oder hastig aufgenommene Screenshots enthalten oft Teile, von denen Sie nicht möchten, dass andere sie sehen.

Manchmal möchten Sie ein Bild zuschneiden, weil es einfach besser aussieht, wenn Sie alle überflüssigen Inhalte abschneiden, wie z. B. die mit Graffiti beschmierte Bushaltestelle auf der linken Seite.

Manchmal möchten Sie es jedoch aus Anstand bearbeiten, indem Sie beispielsweise Details ausschneiden, die Ihre eigene (oder die Privatsphäre von jemand anderem) verletzen könnten, indem Sie Ihren Standort oder Ihre Situation unnötigerweise preisgeben.

Dasselbe gilt für Screenshots, bei denen der irrelevante Inhalt den Inhalt Ihres Browser-Tabs nebenan oder die private E-Mail direkt unter der lustigen enthalten kann, die Sie ausschneiden müssen, um auf der richtigen Seite der Datenschutzbestimmungen zu bleiben .

Seien Sie sich bewusst, bevor Sie teilen

Einfach ausgedrückt, einer der Hauptgründe für das Zuschneiden von Fotos und Screenshots vor dem Versenden ist das Entfernen von Inhalten, die Sie nicht teilen möchten.

Also, wie wir, haben Sie wahrscheinlich angenommen, dass Sie Teile aus einem Foto oder Screenshot herausgeschnitten und getroffen haben [Save], selbst wenn die App Ihre Änderungen aufzeichnet, damit Sie sie später rückgängig machen und das genaue Original wiederherstellen können …

…diese abgeschnittenen Teile würden nicht in Kopien der bearbeiteten Datei enthalten sein, die Sie online veröffentlichen, per E-Mail an Ihre Kumpel senden oder an einen Freund senden möchten.

Die Google Pixel Markup-App hat dies jedoch nicht ganz getan, was zu einem angegebenen Fehler führte CVE-2023-20136.

Wenn Sie ein geändertes Bild über dem alten gespeichert und es dann wieder geöffnet haben, um Ihre Änderungen zu überprüfen, wurde das neue Bild in seiner beschnittenen Form angezeigt, da die beschnittenen Daten korrekt über den Anfang der vorherigen Version geschrieben wurden.

Jeder, der die App selbst testet oder das Bild öffnet, um zu überprüfen, ob es „genau so aussah“, würde den neuen Inhalt sehen und nichts weiter.

Aber auf die Daten, die am Anfang der alten Datei geschrieben werden, würde eine spezielle interne Markierung folgen, die besagt: „Sie können jetzt aufhören; Ignoriere hiernach alle Daten“, gefolgt von völlig falsch alle Daten, die danach erschienen in der alten Version der Datei.

Solange die neue Datei kleiner als die alte war (und wenn Sie die Ränder eines Bildes abschneiden, erwarten Sie, dass die neue Version kleiner ist), würden zumindest einige Teile des alten Bildes am Ende der neuen Datei entkommen .

Herkömmliche, gut erzogene Bildbetrachter, einschließlich des Tools, das Sie gerade zum Zuschneiden der Datei verwendet haben, würden die zusätzlichen Daten ignorieren, aber absichtlich codierte Datenwiederherstellung oder schnüffelnde Apps möglicherweise nicht.

Pixelprobleme wiederholten sich an anderer Stelle

Die fehlerhaften Pixel-Telefone von Google wurden anscheinend im Android-Update vom März 2023 gepatcht, und obwohl einige Pixel-Geräte die Updates dieses Monats zwei Wochen später als gewöhnlich erhalten haben, sollten alle Pixel jetzt auf dem neuesten Stand sein oder können erzwungen aktualisiert werden, wenn Sie eine durchführen manuelle Updateprüfung.

Aber diese Klasse von Fehlern, nämlich Daten in einer alten Datei zurückzulassen, die Sie versehentlich überschreiben, anstatt den alten Inhalt zuerst abzuschneiden, könnte theoretisch in fast jeder App mit einem auftreten [Save] Funktion, insbesondere einschließlich anderer Apps zum Zuschneiden von Bildern und zum Trimmen von Screenshots.

Und es dauerte nicht lange, bis sowohl Windows 11 Snipping Tool und das Windows 10 Snip & Sketch App wurden gefunden habe den gleichen Fehler:

Sie könnten eine Datei schnell und einfach zuschneiden, aber wenn Sie a [Save] über die alte Datei und nicht a [Save As] zu einer neuen Datei, in der es keinen vorherigen Inhalt zu hinterlassen gäbe, würde Sie ein ähnliches Schicksal erwarten.

Die Ursachen der Fehler auf niedriger Ebene sind unterschiedlich, nicht zuletzt, weil die Software von Google eine App im Java-Stil ist und Java-Bibliotheken verwendet, während die Apps von Microsoft in C++ geschrieben sind und Windows-Bibliotheken verwenden, aber die undichten Nebenwirkungen sind identisch.

Als unser Freund und Kollege Chester Wisniewski witzelte im Podcast der letzten Woche, „Ich vermute, dass es im August in Las Vegas viele Gespräche geben wird, in denen dies in anderen Anwendungen diskutiert wird.“ (August ist die Saison der Black Hat- und DEF CON-Events.)

Was ist zu tun?

Die gute Nachricht für Windows-Benutzer ist, dass Microsoft die Kennung jetzt vergeben hat CVE-2023-28303 seinen eigenen Geschmack dauert ebenfalls 3 Jahre. Das erste Jahr ist das sog. aKropalypse Bug und hat gepatchte Versionen der betroffenen Apps in den Microsoft Store hochgeladen.

In unserer eigenen Installation von Windows 11 Enterprise Edition zeigte Windows Update nichts Neues oder Patches, das wir seit letzter Woche brauchten, sondern das manuelle Aktualisieren der Snipping Tool App über den Microsoft Store hat uns von 11.2302.4.0 auf aktualisiert 11.2302.20.0.

Wir sind nicht sicher, welche Versionsnummer Sie sehen werden, wenn Sie das fehlerhafte Windows 10 öffnen Snip & Sketch app, aber nach dem Update aus dem Microsoft Store sollten Sie suchen 10.2008.3001.0 oder höher.

Microsoft betrachtet dies mit der Begründung, dass dies ein Fehler mit niedrigem Schweregrad ist „Eine erfolgreiche Ausnutzung erfordert eine ungewöhnliche Benutzerinteraktion und mehrere Faktoren, die außerhalb der Kontrolle eines Angreifers liegen.“

Wir sind nicht sicher, ob wir dieser Einschätzung ganz zustimmen, denn das Problem besteht nicht darin, dass ein Angreifer Sie dazu verleiten könnte, ein Bild zuzuschneiden, um Teile davon zu stehlen. (Sicherlich würden sie Sie einfach dazu überreden, ihnen die ganze Datei zu schicken, ohne sie erst mühsam zuschneiden zu müssen?)

Das Problem ist, dass Sie möglicherweise genau den Arbeitsablauf befolgen, den Microsoft als „unüblich“ als Sicherheitsvorkehrung betrachtet, bevor Sie ein Foto oder einen Screenshot teilen, nur um festzustellen, dass Sie unbeabsichtigt genau die Daten an einen öffentlichen Ort weitergegeben haben, von denen Sie dachten, Sie hätten sie herausgeschnitten.

Immerhin ist der Microsoft Store ein eigener Stellplatz für die Snipping Tool beschreibt es als einen schnellen Weg zu „Speichern, einfügen oder mit anderen Apps teilen.“

Mit anderen Worten: Zögern Sie nicht, patchen Sie es noch heute.

Es dauert nur einen Moment.

Zeitstempel:

Mehr von Nackte Sicherheit