先週は アクロパリプス Google Pixel 画像切り抜きアプリのバグが話題になったのは、ファンキーな名前があったからだけではありません。
(私たちは名前が少し OTT であるという意見を形成しましたが、私たちが自分で考えた場合、言葉遊びの価値だけでそれを使用したかったことを認めます。大声で言うのは思ったより難しいです。)
このバグは、どのコーダーでも犯す可能性のあるプログラミングの失敗のようなものでしたが、多くのテスターは見落としていた可能性があります。
画像切り抜きツールは、移動中に猫が写っている衝動の写真や、ソーシャル メディアへの風変わりな投稿や Web サイトに表示される奇妙な広告などの面白いスクリーンショットを共有したい場合に非常に便利です。 .
しかし、急いで撮った写真や急いで取ったスクリーンショットには、他の人に見られたくない部分が含まれていることがよくあります.
左側の落書きで汚れたバス停など、不要なコンテンツを切り取ったほうが見栄えが良いという理由で、画像をトリミングしたい場合があります。
ただし、場所や状況を不必要に明らかにして自分自身 (または他の誰か) のプライバシーを傷つける可能性のある詳細を切り取るなど、良識から編集したい場合もあります。
同じことがスクリーンショットにも当てはまります。不要なコンテンツには、隣のブラウザー タブのコンテンツや、面白いもののすぐ下にあるプライベート メールが含まれている可能性があります。これらは、プライバシー規制の右側にとどまるために切り取る必要があります。 .
共有する前に注意してください
簡単に言えば、送信する前に写真やスクリーンショットをトリミングする主な理由の XNUMX つは、共有したくないコンテンツを削除することです。
したがって、私たちと同じように、写真やスクリーンショットからビットを切り取り、 [Save]
、アプリが編集の記録を保持していたとしても、後でそれらを元に戻して正確な元の状態に戻すことができます...
…これらの切り落とされた部分は、オンラインで投稿したり、友人に電子メールで送信したり、友人に送信したりするために選択した編集済みファイルのコピーには含まれません。
ただし、Google Pixel Markup アプリはそれを完全には実行できず、次のようなバグが発生しました。 CVE-2023-20136.
変更した画像を古い画像の上に保存し、それを開いて変更を確認すると、トリミングされたデータが以前のバージョンの先頭に正しく上書きされるため、新しい画像がトリミングされた形式で表示されます。
アプリ自体をテストしたり、画像を開いて「今見える」ことを確認したりすると、新しいコンテンツが表示されるだけで、それ以上のことは何もありません.
しかし、古いファイルの先頭に書き込まれたデータの後には、特別な内部マーカーが続きます。 今後のデータを無視する」の後に完全に間違って その後に登場するすべてのデータ ファイルの古いバージョンで。
新しいファイルが古いファイルよりも小さい限り (そして、画像の端を切り落とすと、新しいバージョンの方が小さいことが予想されます)、古い画像の少なくともいくつかのチャンクが新しいファイルの最後にエスケープされます。 .
ファイルをトリミングするために使用したツールを含む、従来の適切に動作する画像ビューアーは、余分なデータを無視しますが、意図的にコード化されたデータ回復アプリやスヌーピング アプリは無視しない場合があります。
他の場所で繰り返されるピクセルの問題
Google のバグのある Pixel スマートフォンは、2023 年 XNUMX 月の Android アップデートでパッチが適用されたようです。一部の Pixel デバイスは、通常より XNUMX 週間遅れて今月のアップデートを受け取りましたが、すべての Pixel は現在最新の状態になっているはずです。手動更新チェック。
しかし、このクラスのバグ、つまり、古いコンテンツを最初に切り捨てるのではなく、誤って上書きした古いファイルにデータを残すことは、理論的には、. [Save]
特に他の画像トリミング アプリやスクリーンショット トリミング アプリが含まれます。
Windows 11 切り取るツール そしてWindows 10 切り取りとスケッチ アプリが見つかりました 同じ欠点がある:
ファイルをすばやく簡単にトリミングできますが、 [Save]
古いファイルではなく、 [Save As]
置き去りにする以前のコンテンツがない新しいファイルに移動すると、同様の運命があなたを待っています.
バグの低レベルの原因は異なります。特に、Google のソフトウェアは Java スタイルのアプリであり、Java ライブラリを使用しているのに対し、Microsoft のアプリは C++ で記述されており、Windows ライブラリを使用していますが、リークの副作用は同じです。
私たちの友人であり同僚であるチェスター・ウィスニエフスキーとして 皮肉 先週のポッドキャストで、 「XNUMX月にラスベガスで、他のアプリケーションでこれについて話し合うことがたくさんあると思います。」 (XNUMX 月は、Black Hat および DEF CON イベントのシーズンです。)
何をするか?
Windows ユーザーにとって良いニュースは、Microsoft が識別子を割り当てたことです。 CVE-2023-28303 そのへ 自分の味 アクロパリプス バグを修正し、影響を受けるアプリのパッチを適用したバージョンを Microsoft Store にアップロードしました。
私たち自身の Windows 11 Enterprise Edition のインストールでは、Windows Update には、先週から必要な新しいものやパッチが適用されたものは何も表示されませんでしたが、手動で 切り取るツール Microsoft Store 経由のアプリにより、11.2302.4.0 から XNUMX に更新されました。 11.2302.20.0.
バグのある Windows 10 を開いた場合に表示されるバージョン番号はわかりません 切り取りとスケッチ アプリですが、Microsoft Store から更新した後は、 10.2008.3001.0 以降。
Microsoft は、これを重大度の低いバグと見なしています。 「悪用を成功させるには、通常とは異なるユーザーの操作と、攻撃者が制御できないいくつかの要因が必要です。」
問題は、攻撃者が画像の一部を盗むために画像をトリミングするようにだます可能性があることではないため、その評価に完全に同意するかどうかはわかりません. (確かに、最初にファイルをトリミングする手間をかけずに、ファイル全体を送信するようにあなたに話しかけるだけでしょうか?)
問題は、写真やスクリーンショットを共有する前に、Microsoft がセキュリティ上の予防措置として「一般的ではない」と見なしているワークフローを正確に実行したとしても、切り取ったと思っていたまさにそのデータを意図せず公共の場に漏らしてしまう可能性があることです。
結局のところ、Microsoft Store 独自の売り込み 切り取るツール するための簡単な方法として説明します。 「保存、貼り付け、または他のアプリと共有します。」
言い換えると: 今すぐパッチを適用してください。
ほんの一瞬です。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/
- :は
- $UP
- 1
- 10
- 11
- 2023
- a
- 絶対の
- Ad
- 認める
- 後
- すべて
- 一人で
- しかし
- および
- アンドロイド
- アプリ
- 現れる
- アプリ
- です
- AS
- 評価
- 割り当てられた
- 想定される
- At
- 8月
- 著者
- オート
- 待つ
- バック
- 背景画像
- BE
- なぜなら
- 背後に
- 以下
- より良いです
- ビット
- ブラック
- 悪玉
- 国境
- ボトム
- ブラウザ
- バグ
- バグ
- バス
- by
- C + +
- 缶
- CAT
- 原因
- センター
- 変更
- チェック
- チェスター・ウィスニエフスキー
- 選んだ
- class
- コーダー
- 同僚
- カラー
- 考慮する
- コンテンツ
- コントロール
- コピー
- 可能性
- カバー
- 作物
- カット
- 切断
- シーブ
- データ
- 遅らせる
- 細部
- Devices
- DID
- 異なります
- 直接に
- 議論
- ディスプレイ
- ドント
- 簡単に
- エディション
- その他の
- Enterprise
- 完全に
- エーテル(ETH)
- さらに
- イベント
- 正確に
- 期待する
- 搾取
- 余分な
- 要因
- 特徴
- File
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- 続いて
- フォーム
- 形成
- 発見
- 友人
- から
- 取得する
- 良い
- でログイン
- Googleの
- ハンド
- ハンディ
- 持っています
- 持ってる
- ヘッドライン
- 高さ
- ヒット
- ホバー
- しかしながら
- HTTPS
- 傷つける
- 同一の
- 識別子
- 画像
- in
- その他の
- include
- 含まれました
- 含めて
- 間違って
- install
- を取得する必要がある者
- 相互作用
- 内部
- IT
- ITS
- 自体
- Java
- 種類
- LAS
- ラスベガス
- 姓
- 主要な
- コメントを残す
- 残す
- ライブラリ
- ような
- 少し
- 場所
- 長い
- 探して
- LOOKS
- たくさん
- 製
- マニュアル
- 手動で
- 多くの
- 3月
- マージン
- マーカー
- 最大幅
- メディア
- Microsoft
- かもしれない
- ミス
- 修正されました
- 瞬間
- 他には?
- 名
- すなわち
- 必要
- 必要とされる
- 新作
- ニュース
- 通常の
- 特に
- 数
- of
- 古い
- on
- ONE
- オンライン
- 開いた
- 開かれた
- 開設
- 意見
- 注文
- その他
- 外側
- 自分の
- 部品
- パッチ
- Paul Cairns
- のワークプ
- 実行する
- おそらく
- 携帯電話
- ピッチ
- ピクセル
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポッドキャスト
- 位置
- ポスト
- 投稿
- 前
- 主要な
- プライバシー
- プライベート
- 多分
- 問題
- 問題
- プログラミング
- 公共
- 置きます
- クイック
- すぐに
- 理由は
- 受け
- 記録
- 回復する
- 回復
- 規制
- 繰り返される
- 必要
- 明らかにする
- 元に戻す
- 取り除きます
- ロード
- 同じ
- Save
- スクリーンショット
- シーズン
- セキュリティ
- 送信
- いくつかの
- シェアする
- シェアリング
- すべき
- 同様の
- 単に
- から
- 状況
- より小さい
- スヌーピング
- So
- 社会
- ソーシャルメディア
- ソフトウェア
- 固体
- 一部
- スペース
- 特別
- start
- 滞在
- Force Stop
- 店舗
- そのような
- 確かに
- SVG
- 取り
- Talk
- トーク
- テスト
- それ
- それら
- 考え
- 〜へ
- 今日
- ツール
- 豊富なツール群
- top
- 遷移
- トランスペアレント
- true
- アンコモン
- 不必要に
- 最新
- アップデイト
- 更新しました
- 更新版
- 更新
- アップロード
- URL
- us
- つかいます
- ユーザー
- users
- 値
- VEGAS
- 確認する
- バージョン
- 、
- 視聴者
- wanted
- 仕方..
- ウェブサイト
- 週間
- ウィークス
- この試験は
- which
- while
- ウィンドウズ
- 11窓
- Windowsユーザー
- 無し
- 言葉
- ワークフロー
- でしょう
- 書かれた
- あなたの
- ゼファーネット