מיקרוסופט מקצה CVE ל-Snipping Tool באג, דוחפת את התיקון לחנות

שבוע שעבר היה aCropalypse שבוע, שבו באג באפליקציית חיתוך התמונות של גוגל פיקסל עלה לכותרות, ולא רק בגלל שהיה לה שם פאנקי.

(גיבשנו את הדעה שהשם היה קצת OTT, אבל אנחנו מודים שאם היינו חושבים על זה בעצמנו, היינו רוצים להשתמש בו רק בגלל ערך משחק המילים שלו, למרות שמסתבר שכן קשה יותר להגיד בקול ממה שאתה חושב).

הבאג היה סוג של שגיאת תכנות שכל קודן יכול היה לעשות, אבל בודקים רבים עלולים להחמיץ:

כלי חיתוך תמונות שימושיים מאוד כשאתה בדרכים ואתה רוצה לשתף תמונה דחופה, אולי עם חתול, או צילום מסך משעשע, אולי כולל פרסום מטורף במדיה חברתית או מודעה מוזרה שצצה באתר אינטרנט .

אבל תמונות שצולמו במהירות או צילומי מסך שנתפסו בחיפזון, לרוב כוללים קטעים שאתה לא רוצה שאנשים אחרים יראו.

לפעמים, אתה רוצה לחתוך תמונה כי היא פשוט נראית טוב יותר כאשר אתה חותך כל תוכן זר, כגון תחנת האוטובוס המרוחה בגרפיטי בצד שמאל.

עם זאת, לפעמים אתה רוצה לערוך אותו מתוך הגינות, כמו לחתוך פרטים שעלולים לפגוע בפרטיות שלך (או של מישהו אחר) על ידי חשיפת מיקומך או מצבך שלא לצורך.

הדבר נכון גם לגבי צילומי מסך, שבהם התוכן הזר עשוי לכלול את התוכן של כרטיסיית הדפדפן הסמוכה שלך, או האימייל הפרטי ישירות מתחת לזה המשעשע, אותו עליך לגזור כדי להישאר בצד הנכון של תקנות הפרטיות .

היו מודעים לפני שאתם משתפים

במילים פשוטות, אחת הסיבות העיקריות לחיתוך תמונות וצילומי מסך לפני שאתה שולח אותם היא להיפטר מתוכן שאתה לא רוצה לשתף.

אז, כמונו, בטח הנחתם שאם קצצתם קטעים מתמונה או צילום מסך ופגעתם [Save], אז גם אם האפליקציה שמרה תיעוד של העריכות שלך כדי שתוכל להחזיר אותן מאוחר יותר ולשחזר את המקור המדויק...

... הקטעים החתוכים האלה לא ייכללו בעותקים כלשהם של הקובץ הערוך שבחרת לפרסם באינטרנט, לשלוח אימייל לחבריך או לשלוח לחבר.

אפליקציית Google Pixel Markup, לעומת זאת, לא ממש עשתה זאת, מה שהוביל לבאג מסומן CVE-2023-20136.

כאשר שמרת תמונה ששונתה על פני הישנה, ​​ולאחר מכן פתחת אותה בחזרה כדי לבדוק את השינויים שלך, התמונה החדשה תופיע בצורתה החתוכה, מכיוון שהנתונים החתוכים ייכתבו כהלכה בתחילת הגרסה הקודמת.

כל מי שבודק את האפליקציה עצמה, או פותח את התמונה כדי לוודא שהיא "נראית כרגע" יראה את התוכן החדש שלה, ותו לא.

אבל הנתונים שנכתבו בתחילת הקובץ הישן יקבלו סמן פנימי מיוחד שיגיד, "אתה יכול להפסיק עכשיו; התעלם מכל מידע אחר כך", ואחריו באופן שגוי לחלוטין כל הנתונים שהיו מופיעים לאחר מכן בגרסה הישנה של הקובץ.

כל עוד הקובץ החדש היה קטן יותר מהקובץ הישן (וכאשר אתה חותך את הקצוות של תמונה, אתה מצפה שהגרסה החדשה תהיה קטנה יותר), לפחות חלק מהתמונה הישנה היו בורחים בסוף הקובץ החדש .

צופי תמונות מסורתיים ומתנהגים היטב, כולל הכלי שבו השתמשת זה עתה כדי לחתוך את הקובץ, יתעלמו מהנתונים הנוספים, אך ייתכן שלא יישומי שחזור נתונים מקודדים או חטטנות.

בעיות פיקסל חוזרות על עצמן במקומות אחרים

ככל הנראה מכשירי ה-Pixel של גוגל תוכנו בעדכון אנדרואיד מרץ 2023, ולמרות שחלק ממכשירי Pixel קיבלו את העדכונים של החודש שבועיים מאוחר יותר מהרגיל, כל הפיקסלים אמורים להיות מעודכנים כעת, או שניתן יהיה לעדכן אותם בכוח אם תבצעו בדיקת עדכונים ידנית.

אבל סוג זה של באג, כלומר השארת נתונים מאחור בקובץ ישן שאתה מחליף בטעות, במקום לקצץ תחילה את התוכן הישן שלו, יכול בתיאוריה להופיע כמעט בכל אפליקציה עם [Save] תכונה, בעיקר כולל אפליקציות אחרות לחיתוך תמונות ולחיתוך צילומי מסך.

ולא עבר זמן רב עד שניהם Windows 11 כלי חיתוך והחלונות 10 Snip & Sketch נמצאו אפליקציה יש את אותו פגם:

אתה יכול לחתוך קובץ במהירות ובקלות, אבל אם עשית א [Save] מעל הקובץ הישן ולא א [Save As] לקובץ חדש, שבו לא יהיה תוכן קודם להשאיר מאחור, יחכה לך גורל דומה.

הגורמים ברמה הנמוכה של הבאגים שונים, לא מעט בגלל שהתוכנה של גוגל היא אפליקציה בסגנון ג'אווה ומשתמשת בספריות ג'אווה, בעוד שהאפליקציות של מיקרוסופט כתובות ב-C++ ומשתמשות בספריות של Windows, אבל תופעות הלוואי הדולפות זהות.

כידידנו ועמיתנו צ'סטר ויסנייבסקי צחק בפודקאסט של השבוע שעבר, "אני חושד שייתכן שיהיו הרבה שיחות באוגוסט בלאס וגאס לדון בזה ביישומים אחרים." (אוגוסט היא העונה של אירועי Black Hat ו-DEF CON.)

מה לעשות?

החדשות הטובות עבור משתמשי Windows הן שמיקרוסופט הקצתה כעת את המזהה CVE-2023-28303 לה טעם משלו של aCropalypse באג, והעלה גרסאות מתוקנות של האפליקציות המושפעות ל-Microsoft Store.

בהתקנת Windows 11 Enterprise Edition משלנו, Windows Update לא הראה שום דבר חדש או תיקון שהיינו צריכים מאז השבוע שעבר, אלא עדכון ידני של כלי חיתוך האפליקציה דרך ה-Microsoft Store עדכנה אותנו מ-11.2302.4.0 עד 11.2302.20.0.

אנחנו לא בטוחים איזה מספר גרסה תראה אם ​​תפתח את ה-Buggy Windows 10 Snip & Sketch אפליקציה, אך לאחר עדכון מחנות Microsoft, אתה אמור לחפש 10.2008.3001.0 או במאוחר.

מיקרוסופט רואה בזה באג בדרגת חומרה נמוכה, בנימוק ש "ניצול מוצלח דורש אינטראקציה לא נפוצה של משתמשים ומספר גורמים מחוץ לשליטתו של התוקף."

אנחנו לא בטוחים שאנחנו ממש מסכימים עם ההערכה הזו, כי הבעיה היא לא שתוקף עלול להערים עליך לחתוך תמונה כדי לגנוב חלקים ממנה. (בוודאי שהם פשוט ידחו אותך לשלוח להם את כל הקובץ בלי הטרחה לחתוך אותו קודם?)

הבעיה היא שאתה עשוי לעקוב בדיוק אחר זרימת העבודה שמיקרוסופט מחשיבה כ"לא שכיח" כאמצעי זהירות אבטחה לפני שיתוף תמונה או צילום מסך, רק כדי לגלות שדלפת לא במתכוון למרחב הציבורי את אותם נתונים שחשבת שקטעת.

אחרי הכל, הפיץ' של חנות Microsoft עבור ה כלי חיתוך מתאר את זה כדרך מהירה "שמור, הדבק או שתף עם אפליקציות אחרות."

במילים אחרות: אל תתמהמה, תקן את זה היום.

זה לוקח רק רגע.

---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/