สัปดาห์ที่แล้วเป็น aCropalypse สัปดาห์ที่จุดบกพร่องในแอปการครอบตัดรูปภาพของ Google Pixel กลายเป็นข่าวพาดหัว ไม่ใช่เพียงเพราะมันมีชื่อที่ขี้ขลาด
(เรามีความเห็นว่าชื่อนี้ออกจะ OTT ไปหน่อย แต่เรายอมรับว่าถ้าเราคิดเอง เราคงอยากจะใช้มันเพื่อคุณค่าในการเล่นคำเพียงอย่างเดียว แม้ว่ามันจะกลายเป็น พูดออกมาดังกว่าที่คุณคิด)
ข้อผิดพลาดคือข้อผิดพลาดในการเขียนโปรแกรมชนิดหนึ่งที่ผู้เขียนโค้ดทุกคนสามารถทำได้ แต่ผู้ทดสอบจำนวนมากอาจพลาดไป:
เครื่องมือครอบตัดรูปภาพมีประโยชน์มากเมื่อคุณอยู่บนท้องถนนและต้องการแบ่งปันภาพที่กระตุ้นอารมณ์ ซึ่งอาจเกี่ยวกับแมว หรือภาพหน้าจอที่น่าขบขัน รวมถึงการโพสต์แปลกประหลาดบนโซเชียลมีเดียหรือโฆษณาแปลกประหลาดที่โผล่ขึ้นมาบนเว็บไซต์ .
แต่ภาพที่ถ่ายอย่างรวดเร็วหรือภาพหน้าจอที่รีบถ่ายมักจะจบลงด้วยส่วนที่คุณไม่ต้องการให้คนอื่นเห็น
บางครั้งคุณต้องการครอบตัดรูปภาพเพราะมันดูดีขึ้นเมื่อคุณตัดเนื้อหาที่ไม่เกี่ยวข้องออกไป เช่น ป้ายรถเมล์ที่มีคราบกราฟฟิตีทางด้านซ้ายมือ
อย่างไรก็ตาม ในบางครั้ง คุณต้องการแก้ไขอย่างไม่เหมาะสม เช่น การตัดรายละเอียดที่อาจทำร้ายความเป็นส่วนตัวของคุณเอง (หรือของคนอื่น) โดยการเปิดเผยตำแหน่งหรือสถานการณ์ของคุณโดยไม่จำเป็น
เช่นเดียวกับภาพหน้าจอ ซึ่งเนื้อหาที่ไม่เกี่ยวข้องอาจรวมถึงเนื้อหาของแท็บเบราว์เซอร์ถัดไปของคุณ หรืออีเมลส่วนตัวที่อยู่ด้านล่างเนื้อหาที่น่าขบขันซึ่งคุณต้องตัดออกเพื่อให้อยู่ในด้านขวาของกฎความเป็นส่วนตัว .
รู้ไว้ก่อนแชร์
พูดง่ายๆ ก็คือ เหตุผลหลักประการหนึ่งของการครอบตัดรูปภาพและภาพหน้าจอก่อนที่คุณจะส่งออกคือการกำจัดเนื้อหาที่คุณไม่ต้องการแบ่งปัน
เช่นเดียวกับเรา คุณคงเดาได้ว่าถ้าคุณตัดส่วนเล็กๆ ของรูปภาพหรือภาพหน้าจอออกแล้วกดเข้าไป [Save]
แม้ว่าแอปจะเก็บบันทึกการแก้ไขของคุณ เพื่อให้คุณสามารถเปลี่ยนกลับในภายหลังและกู้คืนต้นฉบับที่แน่นอนได้...
…บิตที่ถูกตัดออกเหล่านั้นจะไม่รวมอยู่ในสำเนาของไฟล์ที่แก้ไขซึ่งคุณเลือกที่จะโพสต์ทางออนไลน์ ส่งอีเมลถึงเพื่อนของคุณ หรือส่งให้เพื่อน
อย่างไรก็ตาม แอป Google Pixel Markup ไม่ได้ทำอย่างนั้น ซึ่งนำไปสู่ข้อผิดพลาดที่แสดง CVE-2023-20136.
เมื่อคุณบันทึกรูปภาพที่แก้ไขทับรูปภาพเก่า แล้วเปิดสำรองข้อมูลเพื่อตรวจสอบการเปลี่ยนแปลง รูปภาพใหม่จะปรากฏในรูปแบบครอบตัด เนื่องจากข้อมูลที่ครอบตัดจะถูกเขียนอย่างถูกต้องทับจุดเริ่มต้นของเวอร์ชันก่อนหน้า
ใครก็ตามที่ทดสอบแอปเองหรือเปิดรูปภาพเพื่อยืนยันว่า "ดูแล้วตอนนี้" จะเห็นเนื้อหาใหม่และไม่มีอะไรเพิ่มเติม
แต่ข้อมูลที่เขียนที่จุดเริ่มต้นของไฟล์เก่าจะตามด้วยเครื่องหมายพิเศษภายในเพื่อบอกว่า “คุณหยุดได้แล้ว ละเว้นข้อมูลใด ๆ ต่อจากนี้” ตามมาอย่างไม่ถูกต้องทั้งหมดโดย ข้อมูลทั้งหมดที่เคยปรากฏหลังจากนั้น ในไฟล์เวอร์ชันเก่า
ตราบใดที่ไฟล์ใหม่มีขนาดเล็กกว่าไฟล์เก่า (และเมื่อคุณตัดขอบออกจากรูปภาพ คุณคาดว่าเวอร์ชันใหม่จะเล็กลง) อย่างน้อยชิ้นส่วนของรูปภาพเก่าจะหลุดออกไปในตอนท้ายของไฟล์ใหม่ .
โปรแกรมดูรูปภาพแบบดั้งเดิมที่มีการทำงานดี รวมถึงเครื่องมือที่คุณเพิ่งใช้ในการครอบตัดไฟล์จะไม่สนใจข้อมูลเพิ่มเติม แต่การกู้คืนข้อมูลด้วยการเข้ารหัสหรือการสอดแนมแอปโดยจงใจอาจไม่ทำเช่นนั้น
ปัญหาพิกเซลซ้ำที่อื่น
เห็นได้ชัดว่าโทรศัพท์ Pixel ของ Google ที่มีข้อบกพร่องได้รับการแพตช์ในการอัปเดต Android ในเดือนมีนาคม 2023 และแม้ว่าอุปกรณ์ Pixel บางรุ่นจะได้รับการอัปเดตในเดือนนี้ช้ากว่าปกติ XNUMX สัปดาห์ แต่ Pixels ทั้งหมดควรเป็นเวอร์ชันล่าสุดแล้ว หรือสามารถบังคับอัปเดตได้หากคุณดำเนินการ ตรวจสอบการอัพเดทด้วยตนเอง
แต่จุดบกพร่องประเภทนี้ ได้แก่ การทิ้งข้อมูลไว้ในไฟล์เก่าที่คุณเขียนทับโดยไม่ได้ตั้งใจ แทนที่จะตัดทอนเนื้อหาเก่าก่อน ในทางทฤษฎีอาจปรากฏในเกือบทุกแอปที่มี [Save]
คุณสมบัติ โดยเฉพาะอย่างยิ่งรวมถึงแอพครอบตัดภาพและตัดภาพหน้าจออื่น ๆ
และไม่นานนักทั้ง Windows 11 เครื่องมือ snipping และ Windows 10 Snip & Sketch พบแอพเพื่อ มีข้อบกพร่องเหมือนกัน:
คุณสามารถครอบตัดไฟล์ได้อย่างรวดเร็วและง่ายดาย แต่ถ้าคุณทำ [Save]
มากกว่าไฟล์เก่าและไม่ใช่ไฟล์ [Save As]
ไปยังไฟล์ใหม่ ซึ่งจะไม่มีเนื้อหาก่อนหน้านี้ให้ทิ้งไว้ ชะตากรรมที่คล้ายกันจะรอคุณอยู่
สาเหตุของข้อบกพร่องในระดับต่ำนั้นแตกต่างกันไม่น้อย เพราะซอฟต์แวร์ของ Google เป็นแอปสไตล์ Java และใช้ไลบรารี Java ในขณะที่แอปของ Microsoft เขียนด้วย C++ และใช้ไลบรารีของ Windows แต่ผลข้างเคียงที่รั่วออกมานั้นเหมือนกัน
ในฐานะเพื่อนและเพื่อนร่วมงานของเรา Chester Wisniewski เหน็บ ในพอดแคสต์ของสัปดาห์ที่แล้ว “ฉันสงสัยว่าอาจมีการพูดคุยมากมายในเดือนสิงหาคมในลาสเวกัสที่พูดถึงเรื่องนี้ในแอปพลิเคชันอื่นๆ” (เดือนสิงหาคมเป็นฤดูกาลของกิจกรรม Black Hat และ DEF CON)
จะทำอย่างไร?
ข่าวดีสำหรับผู้ใช้ Windows คือ Microsoft ได้กำหนดตัวระบุแล้ว CVE-2023-28303 ด้าน รสชาติของตัวเอง ของ aCropalypse จุดบกพร่อง และได้อัปโหลดแอปที่ได้รับผลกระทบในเวอร์ชันแก้ไขไปยัง Microsoft Store
ในการติดตั้ง Windows 11 Enterprise Edition ของเราเอง Windows Update ไม่พบสิ่งใหม่หรือแพตช์ที่เราต้องการตั้งแต่สัปดาห์ที่แล้ว แต่อัปเดตด้วยตนเอง เครื่องมือ snipping แอปผ่าน Microsoft Store อัปเดตเราจาก 11.2302.4.0 เป็น 11.2302.20.0.
เราไม่แน่ใจว่าคุณจะเห็นหมายเลขเวอร์ชันใดหากคุณเปิดบั๊กกี้ Windows 10 Snip & Sketch แอพ แต่หลังจากอัปเดตจาก Microsoft Store คุณควรมองหา 10.2008.3001.0 หรือหลังจากนั้น
Microsoft พิจารณาว่าข้อผิดพลาดนี้มีความรุนแรงต่ำด้วยเหตุผลดังกล่าว “การแสวงหาผลประโยชน์ที่ประสบความสำเร็จนั้นต้องการการโต้ตอบที่ไม่ธรรมดาของผู้ใช้และปัจจัยหลายอย่างที่อยู่นอกเหนือการควบคุมของผู้โจมตี”
เราไม่แน่ใจว่าเราค่อนข้างเห็นด้วยกับการประเมินนั้น เพราะปัญหาไม่ได้อยู่ที่ผู้โจมตีอาจหลอกให้คุณครอบตัดรูปภาพเพื่อขโมยบางส่วนของภาพ (แน่นอนว่าพวกเขาจะบอกให้คุณส่งไฟล์ทั้งหมดโดยไม่ต้องครอบตัดให้ยุ่งยากใช่ไหม)
ปัญหาคือคุณอาจปฏิบัติตามเวิร์กโฟลว์ทุกประการที่ Microsoft พิจารณาว่า "ผิดปกติ" เป็นมาตรการป้องกันความปลอดภัยก่อนที่จะแชร์รูปภาพหรือภาพหน้าจอ เพียงเพื่อจะพบว่าข้อมูลที่คุณตัดทิ้งไปในพื้นที่สาธารณะโดยไม่ได้ตั้งใจรั่วไหลออกไป
ท้ายที่สุดแล้ว Microsoft Store เองก็มีการนำเสนอสำหรับ เครื่องมือ snipping อธิบายว่าเป็นวิธีที่รวดเร็วในการ “บันทึก วาง หรือแชร์กับแอปอื่นๆ”
กล่าวอีกนัยหนึ่ง: อย่ารอช้า รีบแก้ไขวันนี้
ใช้เวลาเพียงครู่เดียว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/
- :เป็น
- $ ขึ้น
- 1
- 10
- 11
- 2023
- a
- แน่นอน
- Ad
- ยอมรับ
- หลังจาก
- ทั้งหมด
- คนเดียว
- แม้ว่า
- และ
- หุ่นยนต์
- app
- ปรากฏ
- การใช้งาน
- ปพลิเคชัน
- เป็น
- AS
- การประเมินผล
- ที่ได้รับมอบหมาย
- สันนิษฐาน
- At
- สิงหาคม
- ผู้เขียน
- รถยนต์
- รอคอย
- กลับ
- background-image
- BE
- เพราะ
- ก่อน
- หลัง
- ด้านล่าง
- ดีกว่า
- บิต
- Black
- หมวกสีดำ
- ชายแดน
- ด้านล่าง
- เบราว์เซอร์
- Bug
- เป็นโรคจิต
- รถบัส
- by
- C + +
- CAN
- แมว
- สาเหตุที่
- ศูนย์
- การเปลี่ยนแปลง
- ตรวจสอบ
- เชสเตอร์ วิสเนียวสกี้
- เลือก
- ชั้น
- coder
- เพื่อนร่วมงาน
- สี
- พิจารณา
- เนื้อหา
- ควบคุม
- สำเนา
- ได้
- หน้าปก
- พืชผล
- ตัด
- ตัด
- คฟ
- ข้อมูล
- ความล่าช้า
- รายละเอียด
- อุปกรณ์
- DID
- ต่าง
- โดยตรง
- พูดคุย
- แสดง
- Dont
- อย่างง่ายดาย
- ฉบับ
- อื่น ๆ
- อีเมล
- Enterprise
- อย่างสิ้นเชิง
- อีเธอร์ (ETH)
- แม้
- เหตุการณ์
- เผง
- คาดหวัง
- การแสวงหาผลประโยชน์
- พิเศษ
- ปัจจัย
- ลักษณะ
- เนื้อไม่มีมัน
- หา
- ชื่อจริง
- ปฏิบัติตาม
- ตาม
- สำหรับ
- ฟอร์ม
- ที่เกิดขึ้น
- พบ
- เพื่อน
- ราคาเริ่มต้นที่
- ได้รับ
- ดี
- ของ Google
- มือ
- มีประโยชน์
- หมวก
- มี
- พาดหัวข่าว
- ความสูง
- ตี
- โฉบ
- อย่างไรก็ตาม
- HTTPS
- เจ็บ
- identiques
- ระบุ
- ภาพ
- in
- ในอื่น ๆ
- ประกอบด้วย
- รวม
- รวมทั้ง
- อย่างไม่ถูกต้อง
- ติดตั้ง
- แทน
- ปฏิสัมพันธ์
- ภายใน
- IT
- ITS
- ตัวเอง
- ชวา
- ชนิด
- LAS
- ลาสเวกัส
- ชื่อสกุล
- ชั้นนำ
- ทิ้ง
- การออกจาก
- ห้องสมุด
- กดไลก์
- น้อย
- ที่ตั้ง
- นาน
- ที่ต้องการหา
- LOOKS
- Lot
- ทำ
- คู่มือ
- ด้วยมือ
- หลาย
- มีนาคม
- ขอบ
- เครื่องหมาย
- ความกว้างสูงสุด
- ภาพบรรยากาศ
- ไมโครซอฟท์
- อาจ
- ข้อผิดพลาด
- การแก้ไข
- ขณะ
- ข้อมูลเพิ่มเติม
- ชื่อ
- คือ
- จำเป็นต้อง
- จำเป็น
- ใหม่
- ข่าว
- ปกติ
- ยวด
- จำนวน
- of
- เก่า
- on
- ONE
- ออนไลน์
- เปิด
- เปิด
- การเปิด
- ความคิดเห็น
- ใบสั่ง
- อื่นๆ
- ด้านนอก
- ของตนเอง
- ส่วน
- ปะ
- พอล
- คน
- ดำเนินการ
- บางที
- โทรศัพท์
- ขว้าง
- พิกเซล
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- พอดคาสต์
- ตำแหน่ง
- โพสต์
- โพสต์
- ก่อน
- ประถม
- ความเป็นส่วนตัว
- ส่วนตัว
- อาจ
- ปัญหา
- ปัญหาที่เกิดขึ้น
- การเขียนโปรแกรม
- สาธารณะ
- ใส่
- รวดเร็ว
- อย่างรวดเร็ว
- เหตุผล
- ที่ได้รับ
- ระเบียน
- กู้
- การฟื้นตัว
- กฎระเบียบ
- ซ้ำแล้วซ้ำอีก
- ต้อง
- เผยให้เห็น
- คืนกลับ
- กำจัด
- ถนน
- เดียวกัน
- ลด
- ภาพหน้าจอ
- ฤดู
- ความปลอดภัย
- การส่ง
- หลาย
- Share
- ใช้งานร่วมกัน
- น่า
- คล้ายคลึงกัน
- ง่ายดาย
- ตั้งแต่
- สถานการณ์
- มีขนาดเล็กกว่า
- สอดแนม
- So
- สังคม
- โซเชียลมีเดีย
- ซอฟต์แวร์
- ของแข็ง
- บาง
- ช่องว่าง
- พิเศษ
- เริ่มต้น
- เข้าพัก
- หยุด
- จัดเก็บ
- อย่างเช่น
- อย่างแน่นอน
- SVG
- ใช้เวลา
- คุย
- พูดคุย
- การทดสอบ
- ที่
- พื้นที่
- พวกเขา
- คิดว่า
- ไปยัง
- ในวันนี้
- เครื่องมือ
- เครื่องมือ
- ด้านบน
- การเปลี่ยนแปลง
- โปร่งใส
- จริง
- ผิดปกติ
- เกินความจำเป็น
- ทันเหตุการณ์
- บันทึก
- ให้กับคุณ
- การปรับปรุง
- การปรับปรุง
- อัปโหลด
- URL
- us
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- ความคุ้มค่า
- สเวกัส
- ตรวจสอบ
- รุ่น
- ผ่านทาง
- ผู้ชม
- อยาก
- ทาง..
- Website
- สัปดาห์
- สัปดาห์ที่ผ่านมา
- อะไร
- ที่
- ในขณะที่
- หน้าต่าง
- หน้าต่าง 11
- ผู้ใช้ Windows
- กับ
- ไม่มี
- คำ
- เวิร์กโฟลว์
- จะ
- เขียน
- ของคุณ
- ลมทะเล