Eelmine nädal oli aKropalüpsis nädalal, kus Google Pixeli piltide kärpimise rakenduse viga sattus pealkirjadesse ja mitte ainult sellepärast, et sellel oli naljakas nimi.
(Meil kujunes arvamus, et see nimi oli pisut OTT, kuid tunnistame, et kui oleksime sellele ise mõelnud, oleksime tahtnud seda kasutada ainuüksi sõnamängulise väärtuse pärast, kuigi see osutub raskem välja öelda, kui arvate.)
Viga oli selline programmeerimisviga, mille võis teha iga kodeerija, kuid millest paljud testijad võisid märkamata jääda:
Piltide kärpimise tööriistad on väga kasulikud, kui olete teel ja soovite jagada impulssfotot, mis võib-olla kujutab endast kassi, või lõbusat ekraanipilti, mis võib sisaldada veidrat postitust sotsiaalmeedias või veidrat reklaami, mis ilmus veebisaidile. .
Kuid kiiresti tehtud pildid või kiiruga haaratud ekraanipildid sisaldavad sageli tükke, mida te ei soovi, et teised inimesed näeksid.
Mõnikord soovite pilti kärpida, sest see näeb lihtsalt parem välja, kui eemaldate igasuguse kõrvalise sisu, näiteks grafitiga määrdunud bussipeatuse vasakpoolses servas.
Mõnikord soovite seda aga sündsuse mõttes redigeerida, näiteks lõigata välja üksikasjad, mis võivad teie enda (või kellegi teise) privaatsust kahjustada, paljastades asjatult teie asukohta või olukorda.
Sama kehtib ka ekraanipiltide kohta, kus kõrvaline sisu võib hõlmata teie kõrval asuva brauseri vahekaardi sisu või otse lõbusa vahekaardi all olevat privaatset meili, mille peate privaatsuseeskirjadest kinnipidamiseks välja lõikama. .
Olge enne jagamist teadlik
Lihtsamalt öeldes on üks peamisi põhjusi fotode ja ekraanipiltide kärpimiseks enne nende väljasaatmist vabaneda sisust, mida te ei soovi jagada.
Nii et nagu meiegi, arvasite ilmselt, et kui lõikate fotost või ekraanipildist tükke välja ja vajutate [Save], siis isegi kui rakendus salvestas teie muudatused, et saaksite need hiljem ennistada ja taastada täpse originaali…
…neid tükeldatud tükke ei lisata muudetud faili koopiatesse, mille valisite veebis postitamiseks, oma sõpradele meili saatmiseks või sõbrale saatmiseks.
Rakendus Google Pixel Markup seda aga päris ei teinud, mis tõi kaasa vea CVE-2023-20136.
Kui salvestasite muudetud pildi vanale pildile ja avasite selle seejärel muudatuste kontrollimiseks uuesti, kuvatakse uus pilt kärbitud kujul, kuna kärbitud andmed kirjutatakse õigesti eelmise versiooni algusesse.
Igaüks, kes testib rakendust ise või avab pildi, et veenduda, et see nägi välja just praegu, näeb selle uut sisu ja ei midagi enamat.
Kuid vana faili alguses kirjutatud andmetele järgneks spetsiaalne sisemine marker, mis ütleb: „Võite nüüd lõpetada; edaspidi kõiki andmeid ignoreerida”, millele järgneb täiesti valesti kõik andmed, mis hiljem ilmusid faili vanas versioonis.
Kuni uus fail oli vanast väiksem (ja kui pildi servad maha lõikate, eeldate, et uus versioon on väiksem), pääsevad vähemalt mõned vana pildi tükid uue faili lõpus välja. .
Traditsioonilised hästi käituvad pildivaaturid, sealhulgas tööriist, mida just faili kärpimiseks kasutasite, eiravad lisaandmeid, kuid tahtlikult kodeeritud andmete taastamine või nuhkimisrakendused ei pruugi seda teha.
Piksliprobleemid korduvad mujal
Google'i lollakad Pixeli telefonid said ilmselt paigatud 2023. aasta märtsi Androidi värskenduses ja kuigi mõned Pixeli seadmed said selle kuu värskendused kaks nädalat hiljem kui tavaliselt, peaksid kõik Pixelid nüüd olema ajakohased või neid saab sunniviisiliselt värskendada, kui teete käsitsi värskenduste kontrollimine.
Kuid see veaklass, nimelt andmete jätmine vanasse faili, mille te kogemata üle kirjutate, selle asemel, et vana sisu kõigepealt kärpida, võib teoreetiliselt ilmuda peaaegu igas rakenduses, millel on [Save] funktsiooni, sealhulgas muid piltide kärpimise ja ekraanipiltide kärpimise rakendusi.
Ja ei läinud kaua aega enne, kui mõlemad Windows 11 Lõiketööriist ja Windows 10 Nupp ja visand rakendus leiti on sama viga:
Saate faili kiiresti ja lihtsalt kärpida, kuid kui teeksite a [Save] üle vana faili ja mitte a [Save As] uude faili, kus poleks varasemat sisu, mida maha jätta, ootaks teid sarnane saatus.
Vigade madala taseme põhjused on erinevad, muu hulgas seetõttu, et Google'i tarkvara on Java-stiilis rakendus ja kasutab Java teeke, samas kui Microsofti rakendused on kirjutatud C++ keeles ja kasutavad Windowsi teeke, kuid lekkivad kõrvalmõjud on identsed.
Nagu meie sõber ja kolleeg Chester Wisniewski quipped eelmise nädala podcastis "Ma kahtlustan, et augustis võib Las Vegases pidada palju kõnelusi, et arutada seda teistes rakendustes." (August on Black Hat ja DEF CON ürituste hooaeg.)
Mida teha?
Hea uudis Windowsi kasutajatele on see, et Microsoft on nüüd identifikaatori määranud CVE-2023-28303 selle oma maitse Euroopa aKropalüpsis viga ja on Microsoft Store'i üles laadinud mõjutatud rakenduste paigatud versioonid.
Meie enda Windows 11 Enterprise Editioni installimisel ei näidanud Windows Update midagi uut ega paigatud, mida oleksime eelmisest nädalast alates vajanud, kuid värskendas käsitsi Lõiketööriist rakendus Microsoft Store'i kaudu värskendas meid versioonist 11.2302.4.0 kuni 11.2302.20.0.
Me pole kindlad, millist versiooninumbrit näete, kui avate lollaka Windows 10 Nupp ja visand rakendus, kuid pärast Microsoft Store'ist värskendamist peaksite seda otsima 10.2008.3001.0 või hiljem.
Microsoft peab seda vähese tõsidusega veaks sel põhjusel "Edukas ärakasutamine nõuab ebatavalist kasutaja interaktsiooni ja mitmeid tegureid, mis ei ole ründaja kontrolli all."
Me ei ole kindlad, et nõustume selle hinnanguga, sest probleem ei seisne selles, et ründaja võib petta teid pilti kärpima, et osa sellest varastada. (Kindlasti kutsuksid nad teid lihtsalt kogu faili saatma, ilma et peaksite seda kõigepealt kärpima?)
Probleem on selles, et võite enne foto või ekraanipildi jagamist järgida täpselt seda töövoogu, mida Microsoft peab turvameetmena „ebatavaliseks”, kuid avastate, et lekitasite kogemata avalikku ruumi just need andmed, mille arvasite olevat välja lõiganud.
Lõppude lõpuks, Microsoft Store'i enda pigi jaoks Lõiketööriist kirjeldab seda kui kiiret viisi "salvestage, kleepige või jagage teiste rakendustega."
Teisisõnu: Ärge viivitage, parandage see juba täna.
See võtab vaid hetke.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/
- :on
- $ UP
- 1
- 10
- 11
- 2023
- a
- absoluutne
- Ad
- tunnistama
- pärast
- Materjal: BPA ja flataatide vaba plastik
- üksi
- Kuigi
- ja
- android
- app
- ilmuma
- rakendused
- apps
- OLEME
- AS
- hindamine
- määratud
- oletus
- At
- AUGUST
- autor
- auto
- ootama
- tagasi
- background-image
- BE
- sest
- enne
- taga
- alla
- Parem
- Natuke
- Must
- Black Hat
- piir
- põhi
- brauseri
- Bug
- vead
- buss
- by
- C + +
- CAN
- CAT
- põhjuste
- keskus
- Vaidluste lahendamine
- kontrollima
- chester Wisniewski
- Valisin
- klass
- kooder
- kolleeg
- värv
- arvab
- sisu
- kontrollida
- koopiad
- võiks
- cover
- põllukultuur
- lõigatud
- lõikamine
- cve
- andmed
- viivitus
- detailid
- seadmed
- DID
- erinev
- otse
- arutame
- Ekraan
- Ära
- kergesti
- väljaanne
- Muidu
- ettevõte
- täielikult
- Eeter (ETH)
- Isegi
- sündmused
- täpselt
- ootama
- kasutamine
- lisatasu
- tegurid
- tunnusjoon
- fail
- leidma
- esimene
- järgima
- Järgneb
- eest
- vorm
- moodustatud
- avastatud
- sõber
- Alates
- saama
- hea
- käsi
- mugav
- müts
- Olema
- Pealkirjad
- kõrgus
- Tulemus
- hõljuma
- aga
- HTTPS
- Viga saanud
- identiques
- tunnus
- pilt
- in
- Teistes
- sisaldama
- lisatud
- Kaasa arvatud
- valesti
- paigaldama
- selle asemel
- suhtlemist
- sisemine
- IT
- ITS
- ise
- Java
- Laps
- LAS
- Las Vegas
- viimane
- juhtivate
- Lahkuma
- jätmine
- raamatukogud
- nagu
- vähe
- liising
- Pikk
- otsin
- välimus
- Partii
- tehtud
- käsiraamat
- käsitsi
- palju
- Märts
- Varu
- marker
- max laiuse
- Meedia
- Microsoft
- võib
- viga
- modifitseeritud
- hetk
- rohkem
- nimi
- nimelt
- Vajadus
- vaja
- Uus
- uudised
- normaalne
- eelkõige
- number
- of
- Vana
- on
- ONE
- Internetis
- avatud
- avatud
- avamine
- Arvamus
- et
- Muu
- väljaspool
- enda
- osad
- Plaaster
- Paul
- Inimesed
- täitma
- ehk
- telefonid
- Pigi
- piksel
- Platon
- Platoni andmete intelligentsus
- PlatoData
- podcast
- positsioon
- post
- Postitusi
- eelmine
- esmane
- privaatsus
- era-
- tõenäoliselt
- Probleem
- probleeme
- Programming
- avalik
- panema
- Kiire
- kiiresti
- põhjustel
- saadud
- rekord
- Taastuma
- taastumine
- määrused
- korduv
- Vajab
- paljastav
- naasma
- Rid
- tee
- sama
- Säästa
- ekraanipilte
- hooaeg
- turvalisus
- saatmine
- mitu
- Jaga
- jagamine
- peaks
- sarnane
- lihtsalt
- alates
- olukord
- väiksem
- snooping
- So
- sotsiaalmeedia
- Sotsiaalse meedia
- tarkvara
- tahke
- mõned
- Ruum
- eriline
- algus
- jääma
- Peatus
- salvestada
- selline
- kindlasti
- SVG
- võtab
- rääkima
- Läbirääkimised
- Testimine
- et
- .
- Neile
- arvasin
- et
- täna
- tööriist
- töövahendid
- ülemine
- üleminek
- läbipaistev
- tõsi
- Aeg-ajalt
- asjatult
- ajakohane
- Värskendused
- ajakohastatud
- Uudised
- ajakohastamine
- laetud
- URL
- us
- kasutama
- Kasutaja
- Kasutajad
- väärtus
- VEGAS
- kontrollima
- versioon
- kaudu
- Vaatajad
- tagaotsitav
- Tee..
- veebisait
- nädal
- nädalat
- M
- mis
- kuigi
- aknad
- Windows 11
- Windowsi kasutajad
- koos
- ilma
- sõnad
- töövoog
- oleks
- kirjalik
- Sinu
- sephyrnet
![S3 Ep121: kas teid saab häkkida ja seejärel selle eest kohtu alla anda? [Heli + tekst]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)