Viime viikolla oli aCropalypsi viikolla, jossa Google Pixel -kuvien rajaussovelluksen virhe nousi otsikoihin, eikä vain siksi, että sillä oli hauska nimi.
(Olimme sitä mieltä, että nimi oli hieman OTT, mutta myönnämme, että jos olisimme itse miettineet sitä, olisimme halunneet käyttää sitä pelkän sanaleikkiarvon vuoksi, vaikka se osoittautuukin vaikeampi sanoa ääneen kuin uskotkaan.)
Virhe oli sellainen ohjelmointivirhe, jonka kuka tahansa koodaaja olisi voinut tehdä, mutta jonka monet testaajat ovat saattaneet unohtaa:
Kuvien rajaustyökalut ovat erittäin käteviä, kun olet tien päällä ja haluat jakaa impulssikuvan, jossa on ehkä kissa, tai hauskan kuvakaappauksen, esimerkiksi hassun julkaisun sosiaalisessa mediassa tai omituisen mainoksen, joka ilmestyi verkkosivustolle. .
Mutta nopeasti otetut kuvat tai hätäisesti napatut kuvakaappaukset sisältävät usein osia, joita et halua muiden näkevän.
Joskus haluat rajata kuvaa, koska se näyttää paremmalta, kun leikkaat pois kaiken ylimääräisen sisällön, kuten vasemmalla puolella olevan graffitien tahrineen bussipysäkin.
Joskus kuitenkin haluat muokata sitä säädyllisyydestä, kuten leikata pois yksityiskohtia, jotka voivat vahingoittaa omaa (tai jonkun muun) yksityisyyttä paljastamalla sijaintisi tai tilanteesi tarpeettomasti.
Sama pätee kuvakaappauksiin, joissa ylimääräinen sisältö saattaa sisältää viereisen selaimen välilehden sisällön tai suoraan huvittavan välilehden alapuolella olevan yksityisen sähköpostin, joka sinun on leikattava pois, jotta pysyt tietosuojamääräysten oikealla puolella. .
Ole tietoinen ennen kuin jaat
Yksinkertaisesti sanottuna yksi tärkeimmistä syistä kuvien ja kuvakaappausten rajaamiseen ennen niiden lähettämistä on päästä eroon sisällöstä, jota et halua jakaa.
Joten, kuten me, luultavasti olettit, että jos leikkaat palasia valokuvasta tai kuvakaappauksesta ja painat [Save], vaikka sovellus olisi pitänyt kirjaa muokkauksistasi, jotta voit palauttaa ne myöhemmin ja palauttaa tarkan alkuperäisen…
…näitä leikattuja bittejä ei sisällytettäisi mihinkään muokatun tiedoston kopioihin, jotka olet valinnut julkaistavaksi verkossa, sähköpostitse ystävillesi tai ystävällesi.
Google Pixel Markup -sovellus ei kuitenkaan aivan tehnyt niin, mikä johti ilmoitettuun virheeseen CVE-2023-20136.
Kun tallensit muokatun kuvan vanhan päälle ja aukaisit sen sitten uudelleen tarkistaaksesi muutokset, uusi kuva tulee näkyviin rajatussa muodossaan, koska rajatut tiedot kirjoitettaisiin oikein edellisen version alkuun.
Jokainen, joka testaa itse sovellusta tai avaa kuvan varmistaakseen, että se "näyttää juuri nyt", näkisi sen uuden sisällön, eikä mitään muuta.
Mutta vanhan tiedoston alkuun kirjoitettua dataa seuraisi erityinen sisäinen merkki, joka sanoi: "Voit lopettaa nyt; ohittaa kaikki tiedot tämän jälkeen", jota seuraa täysin väärin kaikki tiedot, jotka ilmestyivät sen jälkeen tiedoston vanhassa versiossa.
Niin kauan kuin uusi tiedosto oli pienempi kuin vanha (ja kun leikkaat kuvan reunat, odotat uuden version olevan pienempi), ainakin osa vanhasta kuvasta poistuisi uuden tiedoston lopussa. .
Perinteiset, hyvin käyttäytyvät kuvankatselulaitteet, mukaan lukien juuri tiedoston rajaamiseen käyttämäsi työkalu, jättäisivät huomioimatta ylimääräiset tiedot, mutta tarkoituksella koodatut tietojen palautus tai nuuskivat sovellukset eivät välttämättä.
Pikseliongelmat toistuvat muualla
Googlen bugiset Pixel-puhelimet korjattiin ilmeisesti maaliskuun 2023 Android-päivityksessä, ja vaikka jotkin Pixel-laitteet saivat tämän kuun päivitykset kaksi viikkoa tavallista myöhemmin, kaikkien Pikselien pitäisi nyt olla ajan tasalla tai ne voidaan päivittää pakottamalla, jos suoritat manuaalinen päivityksen tarkistus.
Mutta tämä virheluokka, eli tietojen jättäminen taakse vanhaan tiedostoon, jonka korvaat vahingossa sen sijaan, että katkaisisit sen vanhan sisällön ensin, voi teoriassa esiintyä melkein kaikissa sovelluksissa, joissa on [Save] ominaisuus, mukaan lukien muut kuvien rajaus- ja kuvakaappaussovellukset.
Ja se ei kestänyt kauan ennen kuin molemmat Windows 11 Palanen koristella ja Windows 10 Snip & Sketch sovellus löydettiin on sama vika:
Voit rajata tiedoston nopeasti ja helposti, mutta jos teit a [Save] vanhan tiedoston päälle eikä a [Save As] uuteen tiedostoon, jossa ei olisi aikaisempaa sisältöä jätettäväksi, samanlainen kohtalo odottaisi sinua.
Virheiden matalan tason syyt ovat erilaisia, eikä vähiten siksi, että Googlen ohjelmisto on Java-tyylinen sovellus ja käyttää Java-kirjastoja, kun taas Microsoftin sovellukset on kirjoitettu C++-kielellä ja käyttävät Windows-kirjastoja, mutta vuotavat sivuvaikutukset ovat identtisiä.
Kuten ystävämme ja kollegamme Chester Wisniewski letkautti viime viikon podcastissa, "Epäilen, että elokuussa Las Vegasissa saattaa käydä paljon keskusteluja, joissa keskustellaan tästä muissa sovelluksissa." (Elokuu on Black Hat- ja DEF CON -tapahtumien kausi.)
Mitä tehdä?
Hyvä uutinen Windows-käyttäjille on, että Microsoft on nyt määrittänyt tunnisteen CVE-2023-28303 sen oma maku että aCropalypsi bug, ja on ladannut korjatut versiot ongelmallisista sovelluksista Microsoft Storeen.
Omassa Windows 11 Enterprise Edition -asennuksessamme Windows Update ei näyttänyt mitään uutta tai korjattua, mitä tarvitsimme viime viikon jälkeen, mutta päivittäminen manuaalisesti Palanen koristella sovellus Microsoft Storen kautta päivitti meidät 11.2302.4.0:sta 11.2302.20.0.
Emme ole varmoja, minkä versionumeron näet, jos avaat bugisen Windows 10:n Snip & Sketch sovellus, mutta Microsoft Storesta päivityksen jälkeen sinun pitäisi etsiä 10.2008.3001.0 tai uudempi.
Microsoft pitää tätä vähävakavana bugina sillä perusteella "Onnistunut hyväksikäyttö vaatii epätavallista käyttäjän vuorovaikutusta ja useita tekijöitä, jotka eivät ole hyökkääjän hallinnassa."
Emme ole varmoja, olemmeko täysin samaa mieltä tämän arvion kanssa, koska ongelma ei ole siinä, että hyökkääjä saattaa huijata sinut rajaamaan kuvan varastaakseen osia siitä. (Varmasti he vain neuvoisivat sinua lähettämään heille koko tiedoston ilman vaivaa sen rajaamisesta ensin?)
Ongelmana on, että saatat noudattaa täsmälleen sitä työnkulkua, jota Microsoft pitää "epätavallisena" turvallisuusvarotoimena ennen valokuvan tai kuvakaappauksen jakamista, mutta huomaat, että olet vahingossa vuotanut julkiseen tilaan juuri niitä tietoja, jotka luulit poistavasi.
Loppujen lopuksi Microsoft Storen oma piki Palanen koristella kuvailee sitä nopeaksi tapaksi "tallenna, liitä tai jaa muiden sovellusten kanssa."
Toisin sanoen: Älä viivyttele, vaan korjaa se tänään.
Se kestää vain hetken.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/
- :On
- $ YLÖS
- 1
- 10
- 11
- 2023
- a
- absoluuttinen
- Ad
- myöntää
- Jälkeen
- Kaikki
- yksin
- Vaikka
- ja
- android
- sovelluksen
- näyttää
- sovellukset
- sovellukset
- OVAT
- AS
- arviointi
- osoitettu
- oletettu
- At
- Elokuu
- kirjoittaja
- auto
- odottaa
- takaisin
- background-image
- BE
- koska
- ennen
- takana
- alle
- Paremmin
- Bitti
- Musta
- Musta hattu
- reunus
- pohja
- selain
- Vika
- Bugs
- bussi
- by
- C + +
- CAN
- KISSA
- syyt
- keskus
- Muutokset
- tarkastaa
- chester wisniewski
- valitsi
- luokka
- koodaaja
- kollega
- väri
- pitää
- pitoisuus
- ohjaus
- kappaletta
- voisi
- kattaa
- sato
- Leikkaus
- leikkaus
- cve
- tiedot
- viivyttää
- yksityiskohdat
- Laitteet
- DID
- eri
- suoraan
- keskustella
- näyttö
- Dont
- helposti
- painos
- Muut
- yritys
- täysin
- Eetteri (ETH)
- Jopa
- Tapahtumat
- täsmälleen
- odottaa
- hyväksikäyttö
- lisää
- tekijät
- Ominaisuus
- filee
- Löytää
- Etunimi
- seurata
- seurannut
- varten
- muoto
- muodostivat
- löytyi
- ystävä
- alkaen
- saada
- hyvä
- Googlen
- käsi
- kätevä
- hattu
- Olla
- Pääotsikot
- korkeus
- Osuma
- liihottaa
- Kuitenkin
- HTTPS
- Satuttaa
- identtinen
- tunniste
- kuva
- in
- Muilla
- sisältää
- mukana
- Mukaan lukien
- virheellisesti
- asentaa
- sen sijaan
- vuorovaikutus
- sisäinen
- IT
- SEN
- itse
- Jaava
- laji
- LAS
- Las Vegas
- Sukunimi
- johtava
- jättää
- jättäen
- kirjastot
- pitää
- vähän
- sijainti
- Pitkät
- näköinen
- ulkonäkö
- Erä
- tehty
- manuaalinen
- käsin
- monet
- maaliskuu
- Marginaali
- merkki
- max-width
- Media
- Microsoft
- ehkä
- virhe
- muokattu
- hetki
- lisää
- nimi
- nimittäin
- Tarve
- tarvitaan
- Uusi
- uutiset
- normaali
- etenkin
- numero
- of
- Vanha
- on
- ONE
- verkossa
- avata
- avattu
- avaaminen
- Lausunto
- tilata
- Muut
- ulkopuolella
- oma
- osat
- läikkä
- Paavali
- Ihmiset
- suorittaa
- ehkä
- puhelimet
- Piki
- pixel
- Platon
- Platonin tietotieto
- PlatonData
- podcast
- sijainti
- Kirje
- Viestejä
- edellinen
- ensisijainen
- yksityisyys
- yksityinen
- todennäköisesti
- Ongelma
- ongelmia
- Ohjelmointi
- julkinen
- laittaa
- nopea
- nopeasti
- syistä
- sai
- ennätys
- toipua
- elpyminen
- määräykset
- toistuva
- Vaatii
- paljastava
- palautua
- Eroon
- tie
- sama
- Säästä
- kuvakaappauksia
- Kausi
- turvallisuus
- lähettäminen
- useat
- Jaa:
- jakaminen
- shouldnt
- samankaltainen
- yksinkertaisesti
- koska
- tilanne
- pienempiä
- vakoilla
- So
- sosiaalinen
- sosiaalinen media
- Tuotteemme
- vankka
- jonkin verran
- Tila
- erityinen
- Alkaa
- pysyä
- stop
- verkkokaupasta
- niin
- varmasti
- SVG
- vie
- Puhua
- Neuvottelut
- Testaus
- että
- -
- Niitä
- ajatus
- että
- tänään
- työkalu
- työkalut
- ylin
- siirtyminen
- läpinäkyvä
- totta
- harvinainen
- turhaan
- ajanmukainen
- Päivitykset
- päivitetty
- Päivitykset
- päivittäminen
- ladattu
- URL
- us
- käyttää
- käyttäjä
- Käyttäjät
- arvo
- VEGAS
- todentaa
- versio
- kautta
- katsojat
- halusi
- Tapa..
- Verkkosivu
- viikko
- viikkoa
- Mitä
- joka
- vaikka
- ikkunat
- Windows 11
- Windows-käyttäjille
- with
- ilman
- sanoja
- työnkulku
- olisi
- kirjallinen
- Sinun
- zephyrnet
![S3 Ep113: Windows-ytimen salaaminen – huijarit, jotka huijasivat Microsoftin [Ääni + teksti]](https://platoaistream.com/wp-content/uploads/2022/12/s3-ep113-pwning-the-windows-kernel-the-crooks-who-hoodwinked-microsoft-audio-text-360x188.png)
![S3 Ep121: Voitko joutua hakkerointiin ja joutua syytteeseen siitä? [Ääni + teksti]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)
