Microsoft atribuie CVE bug-ului Snipping Tool, împinge patch-ul în Store

Săptămâna trecută a fost o Cropalipse săptămâna, în care o eroare în aplicația de tăiere a imaginilor Google Pixel a făcut titluri, și nu doar pentru că avea un nume ciudat.

(Ne-am format de părere că numele era puțin OTT, dar admitem că, dacă ne-am fi gândit la el, am fi vrut să-l folosim doar pentru valoarea sa de joc de cuvinte, deși se dovedește a fi mai greu de spus cu voce tare decât ai putea crede.)

Bug-ul a fost genul de gafă de programare pe care ar fi putut-o face orice programator, dar pe care mulți testeri ar fi putut-o scăpa:

Instrumentele de tăiere a imaginilor sunt foarte utile atunci când sunteți pe drum și doriți să partajați o fotografie de impuls, poate implicând o pisică, sau o captură de ecran amuzantă, poate incluzând o postare ciudată pe rețelele sociale sau o reclamă bizară care a apărut pe un site web .

Dar fotografiile făcute rapid sau capturile de ecran luate în grabă ajung adesea să includă fragmente pe care nu vrei să le vadă alți oameni.

Uneori, doriți să decupați o imagine, deoarece pur și simplu arată mai bine atunci când tăiați orice conținut străin, cum ar fi stația de autobuz mânjită cu graffiti din partea stângă.

Uneori, totuși, doriți să-l editați din decență, cum ar fi tăierea detaliilor care ar putea afecta intimitatea dvs. (sau a altcuiva) prin dezvăluirea locației sau situației dvs. în mod inutil.

Același lucru este valabil și pentru capturile de ecran, în care conținutul străin ar putea include conținutul filei browserului de alături sau e-mailul privat direct sub cel amuzant, pe care trebuie să îl decupați pentru a rămâne în partea dreaptă a reglementărilor de confidențialitate. .

Fiți conștienți înainte de a distribui

Pur și simplu, unul dintre motivele principale pentru decuparea fotografiilor și a capturilor de ecran înainte de a le trimite este acela de a scăpa de conținutul pe care nu doriți să-l partajați.

Deci, ca și noi, probabil ați presupus că dacă ați tăiat bucăți dintr-o fotografie sau dintr-o captură de ecran și ați lovi [Save], atunci chiar dacă aplicația a păstrat o evidență a editărilor dvs., astfel încât să le puteți anula mai târziu și să recuperați originalul exact...

… acele bucăți tăiate nu vor fi incluse în nicio copie a fișierului editat pe care ați ales să-l postați online, să le trimiteți prin e-mail prietenilor dvs. sau să-l trimiteți unui prieten.

Cu toate acestea, aplicația Google Pixel Markup nu a făcut asta, ceea ce a dus la o eroare CVE-2023-20136.

Când ați salvat o imagine modificată peste cea veche și apoi ați deschis-o înapoi pentru a verifica modificările, noua imagine va apărea în forma sa decupată, deoarece datele decupate ar fi scrise corect la începutul versiunii anterioare.

Oricine testează aplicația în sine sau deschide imaginea pentru a verifica că „arata chiar acum” ar vedea noul său conținut și nimic mai mult.

Dar datele scrise la începutul fișierului vechi ar fi urmate de un marker intern special care spune: „Puteți opri acum; ignora orice date ulterioare”, urmat în întregime incorect de toate datele care apăreau ulterior în versiunea veche a fișierului.

Atâta timp cât noul fișier era mai mic decât cel vechi (și când tăiați marginile unei imagini, vă așteptați ca noua versiune să fie mai mică), cel puțin unele bucăți din imaginea veche ar scăpa la sfârșitul noului fișier .

Vizualizatoarele de imagini tradiționale, bine comportate, inclusiv instrumentul pe care tocmai l-ați folosit pentru a decupa fișierul, ar ignora datele suplimentare, dar s-ar putea ca aplicațiile de recuperare a datelor codificate în mod deliberat sau de snooping nu.

Probleme cu pixelii repetate în altă parte

Telefoanele Pixel cu probleme de la Google au fost aparent corectate în actualizarea Android din martie 2023 și, deși unele dispozitive Pixel au primit actualizările din această lună cu două săptămâni mai târziu decât de obicei, toate Pixel-urile ar trebui să fie acum actualizate sau pot fi actualizate forțat dacă efectuați o verificare manuală a actualizării.

Dar această clasă de erori, și anume lăsarea datelor în urmă într-un fișier vechi pe care îl suprascrieți din greșeală, în loc să trunchiați mai întâi conținutul său vechi, ar putea, teoretic, să apară în aproape orice aplicație cu un [Save] caracteristică, inclusiv alte aplicații de tăiere a imaginilor și de tăiere a capturilor de ecran.

Și nu a trecut mult timp până când ambele Windows 11 Instrument de decupare și Windows 10 Snip & Sketch aplicația a fost găsită pentru au acelasi defect:

Ai putea decupa un fișier rapid și ușor, dar dacă ai face un [Save] peste dosarul vechi și nu a [Save As] la un fișier nou, unde nu ar exista conținut anterior de lăsat în urmă, o soartă similară te-ar aștepta.

Cauzele de nivel scăzut ale erorilor sunt diferite, nu în ultimul rând pentru că software-ul Google este o aplicație în stil Java și folosește biblioteci Java, în timp ce aplicațiile Microsoft sunt scrise în C++ și folosesc biblioteci Windows, dar efectele secundare care nu au scurgeri sunt identice.

Ca prieten și colegul nostru Chester Wisniewski glumea în podcastul de săptămâna trecută, „Bănuiesc că ar putea exista o mulțime de discuții în august în Las Vegas, care să discute acest lucru în alte aplicații.” (August este sezonul evenimentelor Black Hat și DEF CON.)

Ce să fac?

Vestea bună pentru utilizatorii de Windows este că Microsoft a atribuit acum identificatorul CVE-2023-28303 a acesteia aromă proprie a o Cropalipse bug și a încărcat versiuni corectate ale aplicațiilor afectate în Microsoft Store.

În propria noastră instalare Windows 11 Enterprise Edition, Windows Update nu a arătat nimic nou sau corectat de care aveam nevoie de săptămâna trecută, dar actualizarea manuală a Instrument de decupare aplicația prin Microsoft Store ne-a actualizat de la 11.2302.4.0 la 11.2302.20.0.

Nu suntem siguri ce număr de versiune veți vedea dacă deschideți bug-ul Windows 10 Snip & Sketch aplicația, dar după actualizarea din Microsoft Store, ar trebui să cauți 10.2008.3001.0 sau mai tarziu.

Microsoft consideră că aceasta este o eroare de severitate scăzută, pe motiv că „exploatarea de succes necesită o interacțiune neobișnuită a utilizatorului și mai mulți factori în afara controlului unui atacator.”

Nu suntem siguri că suntem de acord cu această evaluare, deoarece problema nu este că un atacator te poate păcăli să decupezi o imagine pentru a fura părți din ea. (Sigur că te-ar convinge să le trimiți întregul fișier fără să fii nevoit să-l decupezi mai întâi?)

Problema este că s-ar putea să urmați exact fluxul de lucru pe care Microsoft îl consideră „neobișnuit” ca măsură de siguranță înainte de a partaja o fotografie sau o captură de ecran, doar pentru a descoperi că ați scurs neintenționat într-un spațiu public chiar datele pe care credeați că le-ați tăiat.

La urma urmei, propriul pitch al Microsoft Store pentru Instrument de decupare îl descrie ca pe o modalitate rapidă de a „salvați, inserați sau partajați cu alte aplicații.”

Cu alte cuvinte: Nu întârzia, corectează-l astăzi.

Durează doar un moment.

---

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/