Minggu lalu adalah tanaman minggu, di mana bug di aplikasi pemangkasan gambar Google Pixel menjadi berita utama, dan bukan hanya karena namanya yang funky.
(Kami berpendapat bahwa nama itu sedikit OTT, tetapi kami mengakui bahwa jika kami memikirkannya sendiri, kami ingin menggunakannya untuk nilai permainan kata saja, meskipun ternyata menjadi lebih sulit untuk diucapkan dengan lantang daripada yang mungkin Anda pikirkan.)
Bug tersebut adalah jenis kesalahan pemrograman yang dapat dilakukan oleh pembuat kode mana pun, tetapi mungkin terlewatkan oleh banyak penguji:
Alat pemangkas gambar sangat berguna saat Anda sedang dalam perjalanan dan ingin berbagi foto impulsif, mungkin melibatkan kucing, atau tangkapan layar lucu, mungkin termasuk postingan aneh di media sosial atau iklan aneh yang muncul di situs web .
Tapi foto yang diambil dengan cepat atau tangkapan layar yang diambil dengan tergesa-gesa sering berakhir dengan bagian yang tidak ingin dilihat orang lain.
Kadang-kadang, Anda ingin memangkas gambar karena akan terlihat lebih baik saat Anda memotong konten yang tidak relevan, seperti halte bus yang dicoreng grafiti di sisi kiri.
Namun terkadang, Anda ingin mengeditnya karena kesopanan, seperti memotong detail yang dapat merusak privasi Anda sendiri (atau orang lain) dengan mengungkapkan lokasi atau situasi Anda secara tidak perlu.
Hal yang sama berlaku untuk tangkapan layar, di mana konten asing mungkin termasuk konten tab browser sebelah Anda, atau email pribadi tepat di bawah yang lucu, yang perlu Anda hentikan agar tetap berada di sisi kanan peraturan privasi .
Sadarlah sebelum Anda berbagi
Sederhananya, salah satu alasan utama untuk memangkas foto dan tangkapan layar sebelum Anda mengirimkannya adalah untuk membuang konten yang tidak ingin Anda bagikan.
Jadi, seperti kami, Anda mungkin berasumsi bahwa jika Anda memotong sedikit dari foto atau tangkapan layar dan menekan [Save], bahkan jika aplikasi menyimpan catatan suntingan Anda sehingga Anda dapat mengembalikannya nanti dan memulihkan aslinya…
… bit yang dipotong itu tidak akan disertakan dalam salinan apa pun dari file yang diedit yang Anda pilih untuk dikirim secara online, dikirim melalui email ke teman Anda, atau dikirim ke teman.
Namun, aplikasi Google Pixel Markup tidak cukup melakukan itu, menyebabkan bug yang ditunjukkan CVE-2023-20136.
Saat Anda menyimpan gambar yang dimodifikasi di atas yang lama, lalu membukanya kembali untuk memeriksa perubahan Anda, gambar baru akan muncul dalam bentuk yang dipotong, karena data yang dipotong akan ditulis dengan benar di awal versi sebelumnya.
Siapa pun yang menguji aplikasi itu sendiri, atau membuka gambar untuk memverifikasinya "tampak sekarang" akan melihat konten barunya, dan tidak lebih.
Namun data yang ditulis di awal file lama akan diikuti oleh penanda internal khusus yang berbunyi, “Anda dapat berhenti sekarang; abaikan data apa pun setelahnya”, diikuti sepenuhnya salah oleh semua data yang digunakan untuk muncul sesudahnya di file versi lama.
Selama file baru lebih kecil dari yang lama (dan ketika Anda memotong tepi gambar, Anda mengharapkan versi baru menjadi lebih kecil), setidaknya beberapa potongan gambar lama akan lepas di akhir file baru. .
Penampil gambar tradisional yang berperilaku baik, termasuk alat yang baru saja Anda gunakan untuk memotong file, akan mengabaikan data tambahan, tetapi pemulihan data yang dikodekan dengan sengaja atau aplikasi pengintaian mungkin tidak.
Masalah piksel terulang di tempat lain
Ponsel Pixel buggy Google tampaknya ditambal pada pembaruan Android Maret 2023, dan meskipun beberapa perangkat Pixel menerima pembaruan bulan ini dua minggu lebih lambat dari biasanya, semua Pixel sekarang harus diperbarui, atau dapat diperbarui secara paksa jika Anda melakukan pemeriksaan pembaruan manual.
Tetapi kelas bug ini, yaitu meninggalkan data di file lama yang Anda timpa secara tidak sengaja, alih-alih memotong konten lamanya terlebih dahulu, secara teori dapat muncul di hampir semua aplikasi dengan [Save] fitur, terutama termasuk aplikasi pemangkasan gambar dan pemangkasan tangkapan layar lainnya.
Dan itu tidak lama sebelum keduanya Windows 11 Potongan Alat dan Windows 10 Gunting & Sketsa aplikasi ditemukan memiliki cacat yang sama:
Anda dapat memotong file dengan cepat dan mudah, tetapi jika Anda melakukannya [Save] atas file lama dan bukan a [Save As] ke file baru, di mana tidak akan ada konten sebelumnya untuk ditinggalkan, nasib serupa akan menanti Anda.
Penyebab bug tingkat rendah berbeda, paling tidak karena perangkat lunak Google adalah aplikasi bergaya Java dan menggunakan pustaka Java, sementara aplikasi Microsoft ditulis dalam C++ dan menggunakan pustaka Windows, tetapi efek samping yang bocor identik.
Sebagai teman dan kolega kami, Chester Wisniewski menyindir di podcast minggu lalu, “Saya menduga mungkin ada banyak pembicaraan di bulan Agustus di Las Vegas yang membahas ini di aplikasi lain.” (Agustus adalah musim acara Black Hat dan DEF CON.)
Apa yang harus dilakukan?
Kabar baik bagi pengguna Windows adalah bahwa Microsoft kini telah menetapkan pengenal tersebut CVE-2023-28303 kepada para rasa sendiri dari tanaman bug, dan telah mengunggah versi tambalan dari aplikasi yang terpengaruh ke Microsoft Store.
Dalam penginstalan Windows 11 Enterprise Edition kami sendiri, Pembaruan Windows tidak menunjukkan hal baru atau tambalan yang kami perlukan sejak minggu lalu, tetapi memperbarui secara manual Potongan Alat aplikasi melalui Microsoft Store memperbarui kami dari 11.2302.4.0 ke 11.2302.20.0.
Kami tidak yakin nomor versi apa yang akan Anda lihat jika Anda membuka buggy Windows 10 Gunting & Sketsa aplikasi, tetapi setelah memperbarui dari Microsoft Store, Anda harus mencari 10.2008.3001.0 atau nanti.
Microsoft menganggap ini sebagai bug dengan tingkat keparahan rendah, dengan alasan itu “eksploitasi yang berhasil membutuhkan interaksi pengguna yang tidak biasa dan beberapa faktor di luar kendali penyerang.”
Kami tidak yakin kami cukup setuju dengan penilaian itu, karena masalahnya bukan penyerang mungkin menipu Anda untuk memotong gambar untuk mencuri sebagian darinya. (Tentunya mereka hanya membujuk Anda untuk mengirimi mereka seluruh file tanpa perlu memotongnya terlebih dahulu?)
Masalahnya adalah Anda mungkin mengikuti persis alur kerja yang dianggap "tidak biasa" oleh Microsoft sebagai tindakan pencegahan keamanan sebelum membagikan foto atau tangkapan layar, hanya untuk menemukan bahwa Anda secara tidak sengaja membocorkan data yang Anda pikir telah Anda cabut ke ruang publik.
Lagi pula, penawaran Microsoft Store sendiri untuk Potongan Alat menggambarkannya sebagai cara cepat untuk “simpan, tempel, atau bagikan dengan aplikasi lain.”
Dengan kata lain: Jangan tunda, patch hari ini.
Ini hanya membutuhkan waktu sebentar.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/
- :adalah
- $NAIK
- 1
- 10
- 11
- 2023
- a
- Mutlak
- Ad
- mengakui
- Setelah
- Semua
- sendirian
- Meskipun
- dan
- android
- aplikasi
- muncul
- aplikasi
- aplikasi
- ADALAH
- AS
- penilaian
- ditugaskan
- diasumsikan
- At
- Agustus
- penulis
- mobil
- menunggu
- kembali
- background-image
- BE
- karena
- sebelum
- di belakang
- di bawah
- Lebih baik
- Bit
- Black
- Black Hat
- batas
- Bawah
- Browser
- Bug
- bug
- bis
- by
- C + +
- CAN
- KUCING
- penyebab
- pusat
- Perubahan
- memeriksa
- chester wisniewski
- memilih
- kelas
- pembuat kode
- rekan
- warna
- menganggap
- Konten
- kontrol
- salinan
- bisa
- menutupi
- tanaman
- Memotong
- pemotongan
- cve
- data
- menunda
- rincian
- Devices
- MELAKUKAN
- berbeda
- langsung
- mendiskusikan
- Display
- Dont
- mudah
- edisi
- milik orang lain
- Enterprise
- sepenuhnya
- Eter (ETH)
- Bahkan
- peristiwa
- persis
- mengharapkan
- eksploitasi
- tambahan
- faktor
- Fitur
- File
- Menemukan
- Pertama
- mengikuti
- diikuti
- Untuk
- bentuk
- dibentuk
- ditemukan
- teman
- dari
- mendapatkan
- baik
- tangan
- berguna
- topi
- Memiliki
- Headlines
- tinggi
- Memukul
- melayang-layang
- Namun
- HTTPS
- Menyakiti
- identik
- identifier
- gambar
- in
- Di lain
- memasukkan
- termasuk
- Termasuk
- salah
- install
- sebagai gantinya
- interaksi
- intern
- IT
- NYA
- Diri
- Jawa
- Jenis
- LAS
- Las Vegas
- Terakhir
- terkemuka
- Meninggalkan
- meninggalkan
- perpustakaan
- 'like'
- sedikit
- tempat
- Panjang
- mencari
- TERLIHAT
- Lot
- terbuat
- panduan
- manual
- banyak
- March
- Margin
- penanda
- max-width
- Media
- Microsoft
- mungkin
- kesalahan
- dimodifikasi
- saat
- lebih
- nama
- yaitu
- Perlu
- dibutuhkan
- New
- berita
- normal
- terutama
- jumlah
- of
- Tua
- on
- ONE
- secara online
- Buka
- dibuka
- pembukaan
- Pendapat
- urutan
- Lainnya
- di luar
- sendiri
- bagian
- tambalan
- paul
- Konsultan Ahli
- melakukan
- mungkin
- ponsel
- Nada
- pixel
- plato
- Kecerdasan Data Plato
- Data Plato
- podcast
- posisi
- Pos
- Posts
- sebelumnya
- primer
- pribadi
- swasta
- mungkin
- Masalah
- masalah
- Pemrograman
- publik
- menempatkan
- Cepat
- segera
- alasan
- diterima
- catatan
- Memulihkan
- pemulihan
- peraturan
- ulang
- membutuhkan
- mengungkapkan
- kembali
- Membersihkan
- jalan
- sama
- Save
- screenshot
- Musim
- keamanan
- mengirim
- beberapa
- Share
- berbagi
- harus
- mirip
- hanya
- sejak
- situasi
- lebih kecil
- mengintip
- So
- Sosial
- media sosial
- Perangkat lunak
- padat
- beberapa
- Space
- khusus
- awal
- tinggal
- berhenti
- menyimpan
- seperti itu
- Pasti
- SVG
- Dibutuhkan
- Berbicara
- Pembicaraan
- pengujian
- bahwa
- Grafik
- Mereka
- pikir
- untuk
- hari ini
- alat
- alat
- puncak
- transisi
- jelas
- benar
- Luar biasa
- tidak perlu
- mutakhir
- Memperbarui
- diperbarui
- Pembaruan
- memperbarui
- upload
- URL
- us
- menggunakan
- Pengguna
- Pengguna
- nilai
- Vegas
- memeriksa
- versi
- melalui
- pemirsa
- ingin
- Cara..
- Situs Web
- minggu
- minggu
- Apa
- yang
- sementara
- Windows
- jendela 11
- Pengguna Windows
- dengan
- tanpa
- kata
- alur kerja
- akan
- tertulis
- Anda
- zephyrnet.dll
![S3 Ep113: Pwning the Windows kernel – penjahat yang menipu Microsoft [Audio + Text]](https://platoaistream.com/wp-content/uploads/2022/12/s3-ep113-pwning-the-windows-kernel-the-crooks-who-hoodwinked-microsoft-audio-text-360x188.png)
![S3 Ep121: Bisakah Anda diretas dan kemudian dituntut? [Audio + Teks]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)
