هفته گذشته بود aCropalypse هفته، جایی که یک اشکال در برنامه برش تصویر Google Pixel سرفصل خبرها را به خود اختصاص داد، و نه فقط به این دلیل که نام بدی داشت.
(ما عقیده داشتیم که این نام کمی OTT است، اما می پذیریم که اگر خودمان به آن فکر می کردیم، می خواستیم از آن به تنهایی برای ارزش بازی کلمه استفاده کنیم، حتی اگر به نظر می رسد که چنین است. گفتن با صدای بلند سخت تر از آن چیزی است که فکر می کنید.)
این اشکال نوعی اشتباه برنامهنویسی بود که هر کدنویسی میتوانست مرتکب آن شود، اما ممکن است بسیاری از آزمایشکنندگان آن را از دست داده باشند:
ابزارهای برش تصویر زمانی که در جاده هستید و می خواهید یک عکس تکان دهنده، شاید شامل یک گربه، یا یک اسکرین شات سرگرم کننده، شاید شامل یک پست حواس پرت در رسانه های اجتماعی یا یک تبلیغ عجیب و غریب که در یک وب سایت ظاهر می شود، بسیار مفید هستند. .
اما عکسهایی که به سرعت گرفته میشوند یا اسکرینشاتهایی که با عجله گرفته میشوند، اغلب شامل قسمتهایی میشوند که شما نمیخواهید دیگران آنها را ببینند.
گاهی اوقات، میخواهید یک تصویر را برش دهید، زیرا وقتی هر محتوای اضافی را حذف میکنید، مانند ایستگاه اتوبوس آغشته به گرافیتی در سمت چپ، بهتر به نظر میرسد.
با این حال، گاهی اوقات میخواهید آن را از روی نجابت ویرایش کنید، مانند حذف جزئیاتی که میتواند به حریم خصوصی شما (یا شخص دیگری) با افشای بیضرور موقعیت یا موقعیتتان آسیب برساند.
همین امر در مورد اسکرین شات ها نیز صادق است، جایی که محتوای اضافی ممکن است شامل محتوای برگه مرورگر همسایه شما یا ایمیل خصوصی مستقیماً زیر ایمیل سرگرم کننده باشد، که باید آن را حذف کنید تا در سمت راست مقررات حفظ حریم خصوصی باقی بمانید. .
قبل از اشتراک گذاری آگاه باشید
به بیان ساده، یکی از دلایل اصلی برش عکس ها و اسکرین شات ها قبل از ارسال، حذف محتوایی است که نمی خواهید به اشتراک بگذارید.
بنابراین، شما نیز مانند ما، احتمالاً تصور میکنید که اگر قسمتهایی از یک عکس یا اسکرین شات را جدا کرده و ضربه بزنید [Save]، حتی اگر برنامه ویرایشهای شما را ثبت کند تا بتوانید بعداً آنها را برگردانید و نسخه اصلی را بازیابی کنید…
... آن بیت های خرد شده در هیچ نسخه ای از فایل ویرایش شده ای که انتخاب کرده اید به صورت آنلاین پست کنید، به دوستان خود ایمیل کنید، یا برای دوستانتان ارسال کنید، گنجانده نمی شوند.
با این حال، برنامه Google Pixel Markup کاملاً این کار را انجام نداد و منجر به یک باگ مشخص شد CVE-2023-20136.
هنگامی که یک تصویر اصلاح شده را روی تصویر قبلی ذخیره میکنید، و سپس آن را برای بررسی تغییرات خود باز میکنید، تصویر جدید به شکل برش داده شده ظاهر میشود، زیرا دادههای برش داده شده به درستی در ابتدای نسخه قبلی نوشته میشوند.
هر کسی که خود برنامه را آزمایش کند یا تصویر را باز کند تا تأیید کند که "در حال حاضر به نظر می رسد" محتوای جدید آن را می بیند و نه چیز دیگر.
اما دادههای نوشته شده در ابتدای فایل قدیمی توسط یک نشانگر داخلی خاص دنبال میشوند که میگوید: «اکنون میتوانید متوقف شوید. هر گونه داده را نادیده بگیرید»، به طور کامل به اشتباه دنبال می شود تمام داده هایی که پس از آن ظاهر می شد در نسخه قدیمی فایل
تا زمانی که فایل جدید کوچکتر از فایل قبلی باشد (و هنگامی که لبه های یک تصویر را برش می دهید، انتظار دارید نسخه جدید کوچکتر باشد)، حداقل برخی از تکه های تصویر قدیمی در انتهای فایل جدید فرار می کنند. .
نمایشگرهای سنتی و خوش رفتار، از جمله ابزاری که برای برش فایل استفاده کردید، داده های اضافی را نادیده می گیرند، اما بازیابی اطلاعات کدگذاری شده عمدی یا برنامه های جاسوسی ممکن است این کار را نکنند.
مشکلات پیکسل در جاهای دیگر تکرار شد
گوشیهای Pixel باگ Google ظاهراً در بهروزرسانی اندروید مارس 2023 وصله شدند، و اگرچه برخی از دستگاههای پیکسل بهروزرسانیهای این ماه را دو هفته دیرتر از حد معمول دریافت کردند، همه پیکسلها اکنون باید بهروز باشند، یا در صورت انجام یک کار میتوانند به اجبار بهروزرسانی شوند. بررسی به روز رسانی دستی
اما این دسته از اشکال، یعنی جا گذاشتن دادهها در یک فایل قدیمی که به اشتباه آن را بازنویسی میکنید، به جای اینکه ابتدا محتوای قدیمی آن را کوتاه کنید، در تئوری تقریباً در هر برنامهای با [Save] ویژگی، به ویژه شامل سایر برنامه های برش تصویر و برش تصویر.
و زمان زیادی نگذشت که هر دو ویندوز 11 عرضه شدند ابزار برش و ویندوز 10 Snip & Sketch برنامه پیدا شد همین عیب را دارند:
شما می توانید یک فایل را به سرعت و به راحتی برش دهید، اما اگر این کار را انجام دهید [Save] روی فایل قدیمی و نه a [Save As] به یک فایل جدید، جایی که هیچ محتوای قبلی برای گذاشتن وجود ندارد، سرنوشت مشابهی در انتظار شما خواهد بود.
دلایل سطح پایین باگها متفاوت است، نه حداقل به این دلیل که نرمافزار گوگل یک برنامه به سبک جاوا است و از کتابخانههای جاوا استفاده میکند، در حالی که برنامههای مایکروسافت در C++ نوشته شدهاند و از کتابخانههای ویندوز استفاده میکنند، اما عوارض جانبی درز یکسان هستند.
به عنوان دوست و همکارمان چستر ویسنیفسکی کنایه در پادکست هفته گذشته، "من گمان می کنم ممکن است در ماه اوت در لاس وگاس مذاکرات زیادی در مورد این موضوع در برنامه های دیگر وجود داشته باشد." (مرداد فصل رویدادهای کلاه سیاه و DEF CON است.)
چه کاری انجام دهید؟
خبر خوب برای کاربران ویندوز این است که مایکروسافت اکنون این شناسه را اختصاص داده است CVE-2023-28303 به آن طعم خود از aCropalypse اشکال، و نسخههای وصلهشده برنامههای آسیبدیده را در فروشگاه مایکروسافت آپلود کرده است.
در نصب ویندوز 11 Enterprise Edition خودمان، Windows Update هیچ چیز جدید یا وصلهای را که از هفته گذشته به آن نیاز داشتیم نشان نداد، اما بهروزرسانی دستی ابزار برش برنامه از طریق فروشگاه مایکروسافت ما را از 11.2302.4.0 به روز رسانی کرد 11.2302.20.0.
ما مطمئن نیستیم که اگر ویندوز 10 باگ را باز کنید، چه شماره نسخه ای را خواهید دید Snip & Sketch برنامه، اما پس از به روز رسانی از فروشگاه مایکروسافت، باید به دنبال آن باشید 10.2008.3001.0 و یا بعد.
مایکروسافت این را یک اشکال با شدت کم می داند، به این دلیل که "استثمار موفق به تعامل غیر معمول کاربر و چندین عامل خارج از کنترل مهاجم نیاز دارد."
ما مطمئن نیستیم که کاملاً با این ارزیابی موافق باشیم، زیرا مشکل این نیست که یک مهاجم ممکن است شما را فریب دهد تا یک تصویر را برش دهید تا بخش هایی از آن را بدزدد. (مطمئناً آنها فقط از شما صحبت می کنند که کل فایل را بدون دردسر برش دادن ابتدا برای آنها ارسال کنید؟)
مشکل این است که شما ممکن است دقیقاً گردش کاری را که مایکروسافت آن را "غیر معمول" به عنوان یک اقدام احتیاطی امنیتی قبل از به اشتراک گذاشتن یک عکس یا اسکرین شات میداند، دنبال کنید، اما متوجه میشوید که ناخواسته همان دادههایی را که فکر میکردید حذف کردهاید، در یک فضای عمومی درز کردهاید.
پس از همه، زمین خود فروشگاه مایکروسافت برای ابزار برش آن را به عنوان یک راه سریع برای «ذخیره، جایگذاری یا اشتراکگذاری با برنامههای دیگر».
به عبارت دیگر: معطل نکن همین امروز وصله کن
این کار فقط یک لحظه زمان می گیرد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/
- :است
- $UP
- 1
- 10
- 11
- 2023
- a
- مطلق
- Ad
- اقرار کردن
- پس از
- معرفی
- تنها
- هر چند
- و
- اندروید
- نرم افزار
- ظاهر شدن
- برنامه های کاربردی
- برنامه های
- هستند
- AS
- ارزیابی
- اختصاص داده
- فرض
- At
- اوت
- نویسنده
- خودکار
- در انتظار
- به عقب
- تصویر پس زمینه
- BE
- زیرا
- قبل از
- پشت سر
- در زیر
- بهتر
- بیت
- سیاه پوست
- کلاه سیاه
- مرز
- پایین
- مرورگر
- اشکال
- اشکالات
- اتوبوس
- by
- ++C
- CAN
- CAT
- علل
- مرکز
- تبادل
- بررسی
- چستر ویزنیفسکی
- را انتخاب
- کلاس
- رمزگذار
- هم قطار
- رنگ
- در نظر می گیرد
- محتوا
- کنترل
- نسخه
- میتوانست
- پوشش
- محصول
- برش
- برش
- cve
- داده ها
- تاخیر
- جزئیات
- دستگاه ها
- DID
- مختلف
- مستقیما
- بحث در مورد
- نمایش دادن
- آیا
- به آسانی
- چاپ
- دیگر
- پست الکترونیک
- سرمایه گذاری
- به طور کامل
- اتر (ETH)
- حتی
- حوادث
- کاملا
- انتظار
- بهره برداری
- اضافی
- عوامل
- ویژگی
- پرونده
- پیدا کردن
- نام خانوادگی
- به دنبال
- به دنبال
- برای
- فرم
- تشکیل
- یافت
- دوست
- از جانب
- دریافت کنید
- خوب
- گوگل
- گوگل
- دست
- سیار
- است
- آیا
- عناوین
- ارتفاع
- اصابت
- در تردید بودن
- اما
- HTTPS
- صدمه
- یکسان
- شناسه
- تصویر
- in
- در دیگر
- شامل
- مشمول
- از جمله
- نادرست
- نصب
- در عوض
- اثر متقابل
- داخلی
- IT
- ITS
- خود
- جاوه
- نوع
- LAS
- لاس وگاس
- نام
- برجسته
- ترک کردن
- ترک
- کتابخانه ها
- پسندیدن
- کوچک
- محل
- طولانی
- به دنبال
- مطالب
- خیلی
- ساخته
- کتابچه راهنمای
- دستی
- بسیاری
- مارس
- حاشیه
- نشانگر
- حداکثر عرض
- رسانه ها
- مایکروسافت
- قدرت
- اشتباه
- اصلاح شده
- لحظه
- بیش
- نام
- از جمله
- نیاز
- ضروری
- جدید
- اخبار
- طبیعی
- به ویژه
- عدد
- of
- قدیمی
- on
- ONE
- آنلاین
- باز کن
- باز
- افتتاح
- نظر
- سفارش
- دیگر
- خارج از
- خود
- بخش
- وصله
- پل
- مردم
- انجام دادن
- شاید
- گوشی های
- قیر
- پیکسل
- افلاطون
- هوش داده افلاطون
- PlatoData
- پادکست
- موقعیت
- پست
- پست ها
- قبلی
- اصلی
- خلوت
- خصوصی
- شاید
- مشکل
- مشکلات
- برنامه نويسي
- عمومی
- قرار دادن
- سریع
- به سرعت
- دلایل
- اخذ شده
- رکورد
- بهبود یافتن
- بهبود
- مقررات
- مکرر
- نیاز
- آشکار
- برگرداندن
- خلاص شدن از شر
- جاده
- همان
- ذخیره
- تصاویر
- فصل
- تیم امنیت لاتاری
- در حال ارسال
- چند
- اشتراک گذاری
- اشتراک
- باید
- مشابه
- به سادگی
- پس از
- وضعیت
- کوچکتر
- snooping را
- So
- آگاهی
- رسانه های اجتماعی
- نرم افزار
- جامد
- برخی از
- فضا
- ویژه
- شروع
- ماندن
- توقف
- opbevare
- چنین
- مسلما
- SVG
- طول می کشد
- صحبت
- مذاکرات
- تست
- که
- La
- آنها
- فکر
- به
- امروز
- ابزار
- ابزار
- بالا
- انتقال
- شفاف
- درست
- غیر معمول
- بدون نیاز
- در جریان روز
- بروزرسانی
- به روز شده
- به روز رسانی
- به روز رسانی
- آپلود شده
- URL
- us
- استفاده کنید
- کاربر
- کاربران
- ارزش
- وگاس
- بررسی
- نسخه
- از طريق
- بینندگان
- خواسته
- مسیر..
- سایت اینترنتی
- هفته
- هفته
- چی
- که
- در حین
- پنجره
- پنجره 11
- کاربران ویندوز
- با
- بدون
- کلمات
- گردش کار
- خواهد بود
- کتبی
- شما
- زفیرنت
![S3 Ep113: Pwning هسته ویندوز - کلاهبردارانی که مایکروسافت را گول زدند [صوت + متن]](https://platoaistream.com/wp-content/uploads/2022/12/s3-ep113-pwning-the-windows-kernel-the-crooks-who-hoodwinked-microsoft-audio-text-360x188.png)
![S3 Ep121: آیا می توانید هک شوید و سپس به خاطر آن تحت پیگرد قانونی قرار بگیرید؟ [صوت + متن]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)
