Microsoft는 Snipping Tool 버그에 CVE를 할당하고 Store에 패치를 푸시합니다.

지난주는 크로팔립스 Google Pixel 이미지 자르기 앱의 버그가 헤드라인을 장식한 주에는 펑키한 이름 때문만은 아닙니다.

(조금 OTT라는 이름이 붙었다는 의견이 있었지만 저희가 직접 생각했다면 말장난용으로만 사용하고 싶었을 거라는 점은 인정합니다. 생각보다 큰 소리로 말하기가 어렵습니다.)

버그는 모든 코더가 저지를 수 있는 일종의 프로그래밍 실수였지만 많은 테스터가 놓쳤을 수 있습니다.

이미지 자르기 도구는 이동 중에 고양이가 포함된 충동적인 사진이나 소셜 미디어의 엉뚱한 게시물 또는 웹 사이트에 팝업된 기괴한 광고를 포함하여 재미있는 스크린샷을 공유하고 싶을 때 매우 편리합니다. .

그러나 빠르게 찍은 사진이나 급하게 찍은 스크린샷에는 다른 사람에게 보여주고 싶지 않은 부분이 포함되는 경우가 많습니다.

왼쪽의 낙서로 얼룩진 버스 정류장과 같이 관련 없는 콘텐츠를 잘라내면 더 보기 좋아 보이기 때문에 이미지를 자르고 싶을 때가 있습니다.

그러나 때로는 위치나 상황을 불필요하게 공개하여 자신(또는 다른 사람)의 사생활을 해칠 수 있는 세부 정보를 잘라내는 등 품위 있게 편집하고 싶을 때가 있습니다.

외부 콘텐츠에 옆집 브라우저 탭의 콘텐츠 또는 개인 정보 보호 규정을 준수하기 위해 잘라내야 하는 재미있는 이메일 바로 아래의 개인 이메일이 포함될 수 있는 스크린샷의 경우에도 마찬가지입니다. .

공유하기 전에 알아두세요

간단히 말해서 사진과 스크린샷을 보내기 전에 자르는 주된 이유 중 하나는 공유하고 싶지 않은 콘텐츠를 제거하기 위해서입니다.

따라서 우리와 마찬가지로 사진이나 스크린샷에서 일부를 잘라낸 다음 [Save], 나중에 되돌리고 정확한 원본을 복구할 수 있도록 앱이 편집 기록을 보관하더라도…

... 잘려진 부분은 온라인에 게시하거나 친구에게 이메일로 보내거나 친구에게 보내기 위해 선택한 편집된 파일의 복사본에 포함되지 않습니다.

그러나 Google Pixel Markup 앱은 그렇게 하지 않아 다음과 같은 버그가 발생했습니다. CVE-2023-20136.

이전 이미지 위에 수정된 이미지를 저장한 다음 변경 사항을 확인하기 위해 다시 열면 잘린 데이터가 이전 버전의 시작 부분에 올바르게 기록되기 때문에 새 이미지가 잘린 형태로 나타납니다.

앱 자체를 테스트하거나 이미지를 열어 "지금 보이는지" 확인하는 사람은 새 콘텐츠만 볼 수 있습니다.

그러나 이전 파일의 시작 부분에 기록된 데이터 뒤에는 “이제 그만해도 됩니다. 이후에는 모든 데이터를 무시하십시오”라는 메시지가 완전히 잘못되었습니다. 이후에 나타나던 모든 데이터 파일의 이전 버전에서.

새 파일이 이전 파일보다 작은 경우(그리고 이미지의 가장자리를 잘라낼 때 새 버전이 더 작을 것이라고 예상할 수 있음) 적어도 이전 이미지의 일부 청크는 새 파일의 끝에서 빠져나갑니다. .

방금 파일을 자르기 위해 사용한 바로 그 도구를 포함하여 기존의 잘 작동하는 이미지 뷰어는 추가 데이터를 무시하지만 의도적으로 코딩된 데이터 복구 또는 스누핑 앱은 그렇지 않을 수 있습니다.

다른 곳에서 반복되는 픽셀 문제

Google의 버그가 있는 Pixel 휴대전화는 2023년 XNUMX월 Android 업데이트에서 패치된 것으로 보이며 일부 Pixel 기기는 평소보다 XNUMX주 늦게 이번 달 업데이트를 받았지만 모든 Pixel은 이제 최신 상태이거나 다음을 수행하면 강제 업데이트될 수 있습니다. 수동 업데이트 확인.

그러나 이러한 종류의 버그, 즉 오래된 콘텐츠를 먼저 자르는 대신 실수로 덮어쓴 오래된 파일에 데이터를 남겨두는 것은 이론적으로 거의 모든 앱에서 나타날 수 있습니다. [Save] 특히 다른 이미지 자르기 및 스크린샷 트리밍 앱을 포함하는 기능입니다.

그리고 얼마 지나지 않아 Windows 11이 자르는 도구 그리고 윈도우 10 캡처 및 스케치 앱이 발견되었습니다 같은 결점을 가지고:

빠르고 쉽게 파일을 자를 수 있지만 [Save] 이전 파일 위에 [Save As] 남겨둘 이전 콘텐츠가 없는 새 파일로 이동하면 비슷한 운명이 여러분을 기다리고 있을 것입니다.

버그의 낮은 수준의 원인은 다릅니다. 특히 Google의 소프트웨어는 Java 스타일 앱이고 Java 라이브러리를 사용하는 반면 Microsoft의 앱은 C++로 작성되고 Windows 라이브러리를 사용하기 때문입니다. 하지만 새는 부작용은 동일합니다.

우리의 친구이자 동료인 Chester Wisniewski 보이지 않네요 지난주 팟캐스트에서 "나는 XNUMX월에 라스베이거스에서 다른 애플리케이션에서 이것을 논의하는 많은 대화가 있을 것이라고 생각합니다." (XNUMX월은 Black Hat 및 DEF CON 이벤트의 시즌입니다.)

무엇을해야 하는가?

Windows 사용자에게 희소식은 Microsoft가 이제 식별자를 할당했다는 것입니다. CVE-2023-28303 그에게 나만의 맛 의 크로팔립스 버그 및 영향을 받는 앱의 패치 버전을 Microsoft Store에 업로드했습니다.

자체 Windows 11 Enterprise Edition 설치에서 Windows Update는 지난주 이후로 필요한 새 항목이나 패치된 항목을 표시하지 않았지만 수동으로 업데이트했습니다. 자르는 도구 Microsoft Store를 통한 앱은 11.2302.4.0에서 다음으로 업데이트되었습니다. 11.2302.20.0.

버그가 있는 Windows 10을 열면 어떤 버전이 표시될지 확실하지 않습니다. 캡처 및 스케치 앱이지만 Microsoft Store에서 업데이트한 후에는 다음을 찾아야 합니다. 10.2008.3001.0 이상.

Microsoft는 이를 근거로 심각도가 낮은 버그로 간주합니다. "악용에 성공하려면 일반적이지 않은 사용자 상호 작용과 공격자의 통제를 벗어난 여러 요소가 필요합니다."

문제는 공격자가 이미지의 일부를 훔치기 위해 이미지를 자르도록 속일 수 있다는 것이 아니기 때문에 이러한 평가에 동의하는지 확신할 수 없습니다. (확실히 그들은 먼저 파일을 자르는 번거로움 없이 전체 파일을 보내라고 당신에게 말할 것입니까?)

문제는 사진이나 스크린샷을 공유하기 전에 마이크로소프트가 보안 예방책으로 "흔하지 않은" 것으로 간주하는 워크플로를 정확히 따랐다가 잘려나갔다고 생각한 바로 그 데이터를 의도치 않게 공공 장소에 유출했다는 사실을 발견할 수 있다는 것입니다.

결국, Microsoft Store의 자체 피치는 자르는 도구 빠른 방법으로 설명합니다. "다른 앱과 저장, 붙여넣기 또는 공유."

다른 말로: 지체하지 말고 오늘 패치하십시오.

잠시만 있으면 됩니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/