Минулий тиждень був акропаліпсис тижня, коли помилка в додатку для обрізання зображень Google Pixel потрапила в заголовки, і не лише тому, що він мав дивну назву.
(Ми сформували думку, що назва була трохи OTT, але ми визнаємо, що якби ми думали про це самі, ми хотіли б використовувати його лише через його цінність гри слів, хоча це виявляється важче сказати вголос, ніж ви думаєте.)
Помилка була програмною помилкою, яку міг зробити будь-який програміст, але яку могли пропустити багато тестувальників:
Інструменти кадрування зображень дуже зручні, коли ви в дорозі та хочете поділитися імпульсивною фотографією, можливо, із зображенням кота, або кумедним знімком екрана, можливо, включно з дивною публікацією в соціальних мережах або дивною рекламою, яка з’явилася на веб-сайті .
Але швидко зроблені фотографії або поспіхом зроблені знімки екрана часто закінчуються фрагментами, які ви не хочете, щоб інші люди бачили.
Іноді ви хочете обрізати зображення, тому що воно просто виглядає краще, коли ви обрізаєте будь-який сторонній вміст, наприклад, пофарбовану графіті автобусну зупинку ліворуч.
Однак іноді ви хочете відредагувати його з міркувань пристойності, наприклад, вирізати деталі, які можуть зашкодити вашій власній (або чиїйсь) конфіденційності, розкриваючи ваше місцезнаходження чи ситуацію без потреби.
Те саме стосується скріншотів, де сторонній вміст може включати вміст вашої сусідньої вкладки веб-переглядача або приватну електронну пошту безпосередньо під кумедною, яку вам потрібно вирізати, щоб залишатися в правильній частині правил конфіденційності. .
Будьте в курсі, перш ніж ділитися
Простіше кажучи, одна з головних причин для обрізання фотографій і скріншотів перед їх надсиланням – це позбутися вмісту, яким ви не хочете ділитися.
Отже, як і ми, ви, ймовірно, припустили, що якщо ви вирізали шматочки з фотографії чи знімка екрана та вдарили [Save], навіть якщо програма збереже записи ваших змін, щоб ви могли скасувати їх пізніше та відновити точний оригінал…
…ці відрізані фрагменти не будуть включені до жодної копії відредагованого файлу, який ви вирішили опублікувати в мережі, надіслати електронною поштою своїм друзям або надіслати другові.
Однак додаток Google Pixel Markup не зробив цього, що призвело до виявлення помилки CVE-2023-20136.
Якщо ви зберегли змінене зображення поверх старого, а потім знову відкрили його, щоб перевірити зміни, нове зображення з’явилося б у своїй обрізаній формі, оскільки обрізані дані були б правильно записані на початку попередньої версії.
Будь-хто, хто тестує сам додаток або відкриває зображення, щоб переконатися, що воно «виглядає прямо зараз», побачить його новий вміст і нічого більше.
Але дані, записані на початку старого файлу, супроводжуватимуться спеціальним внутрішнім маркером: «Ви можете зупинитися зараз; ігнорувати будь-які дані в подальшому», за яким повністю неправильно йде усі дані, які з’являлися після цього у старій версії файлу.
Поки новий файл був меншим за старий (і коли ви обрізаєте краї зображення, ви очікуєте, що нова версія буде меншою), принаймні деякі фрагменти старого зображення виникнуть у кінці нового файлу. .
Традиційні програми для перегляду зображень, які добре поводяться, включно з інструментом, який ви щойно використовували для обрізання файлу, проігнорували б додаткові дані, але навмисно закодовані програми для відновлення даних або стеження можуть ні.
Проблеми з пікселями повторюються в інших місцях
Телефони Pixel від Google із помилками, очевидно, були виправлені в оновленні Android у березні 2023 року, і хоча деякі пристрої Pixel отримали оновлення цього місяця на два тижні пізніше, ніж зазвичай, тепер усі Pixel мають бути оновленими або їх можна примусово оновити, якщо виконати ручна перевірка оновлень.
Але цей клас помилок, а саме залишення даних у старому файлі, який ви помилково перезаписуєте, замість того, щоб спочатку скоротити його старий вміст, теоретично може з’явитися майже в будь-якій програмі з [Save] функція, зокрема, включаючи інші програми для кадрування зображень і знімків екрана.
І незабаром обидві Windows 11 Ножиці і Windows 10 Snip & Sketch були знайдені програми мають той самий недолік:
Ви можете швидко й легко обрізати файл, але якщо ви це зробили [Save] над старим файлом, а не a [Save As] до нового файлу, де не залишиться попереднього вмісту, на вас чекатиме подібна доля.
Причини низькорівневих помилок різні, не в останню чергу тому, що програмне забезпечення Google є програмою в стилі Java і використовує бібліотеки Java, тоді як програми Microsoft написані на C++ і використовують бібліотеки Windows, але побічні ефекти витоку ідентичні.
Як наш друг і колега Честер Вишневскі пожартував в подкасті минулого тижня, «Я підозрюю, що в серпні в Лас-Вегасі може бути багато переговорів щодо обговорення цього в інших програмах». (Серпень — сезон подій Black Hat і DEF CON.)
Що ж робити?
Доброю новиною для користувачів Windows є те, що Microsoft тепер призначила ідентифікатор CVE-2023-28303 його власний смак в акропаліпсис помилку та завантажив виправлені версії зачеплених програм у Microsoft Store.
У нашій власній інсталяції Windows 11 Enterprise Edition служба Windows Update не показала нічого нового або виправленого, що нам було потрібно з минулого тижня, але оновлення вручну Ножиці додаток через Microsoft Store оновив нас з 11.2302.4.0 до 11.2302.20.0.
Ми не впевнені, який номер версії ви побачите, якщо відкриєте помилкову Windows 10 Snip & Sketch але після оновлення з Microsoft Store вам слід шукати 10.2008.3001.0 або пізніше.
Корпорація Майкрософт вважає цю помилку низького ступеня серйозності на тій підставі «Успішна експлуатація вимагає незвичайної взаємодії з користувачем і кількох факторів поза контролем зловмисника».
Ми не впевнені, що погоджуємося з цією оцінкою, оскільки проблема не в тому, що зловмисник може обманом змусити вас обрізати зображення, щоб викрасти його частини. (Напевно, вони б просто вмовили вас надіслати їм увесь файл, не обрізаючи його?)
Проблема полягає в тому, що ви можете слідувати саме тому робочому процесу, який Microsoft вважає «незвичайним» як запобіжний захід безпеки, перш ніж поділитися фотографією чи знімком екрана, лише для того, щоб виявити, що ви ненавмисно просочили в публічний простір саме ті дані, які, як ви думали, вирізали.
Зрештою, власний виступ Microsoft Store для Ножиці описує це як швидкий спосіб «зберегти, вставити або поділитися з іншими програмами».
Іншими словами: Не зволікайте, виправте це сьогодні.
Це займає лише мить.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/
- :є
- $UP
- 1
- 10
- 11
- 2023
- a
- абсолют
- Ad
- визнати
- після
- ВСІ
- тільки
- хоча
- та
- чоловіча
- додаток
- з'являтися
- застосування
- додатка
- ЕСТЬ
- AS
- оцінка
- призначений
- передбачається
- At
- Серпня
- автор
- автоматичний
- чекати
- назад
- фонове зображення
- BE
- оскільки
- перед тим
- за
- нижче
- Краще
- Біт
- Black
- Black Hat
- border
- дно
- браузер
- Помилка
- помилки
- bus
- by
- C + +
- CAN
- КПП
- Причини
- Центр
- Зміни
- перевірка
- Честер Вишневскі
- вибрав
- клас
- coder
- колега
- color
- вважає
- зміст
- контроль
- copies
- може
- обкладинка
- урожай
- Вирізати
- різання
- cve
- дані
- затримка
- деталі
- прилади
- DID
- різний
- безпосередньо
- обговорення
- дисплей
- Не знаю
- легко
- видання
- В іншому
- підприємство
- повністю
- Ефір (ETH)
- Навіть
- Події
- точно
- очікувати
- експлуатація
- додатково
- фактори
- особливість
- філе
- знайти
- Перший
- стежити
- потім
- для
- форма
- сформований
- знайдений
- друг
- від
- отримати
- добре
- Google,
- рука
- мобільний
- hat
- Мати
- Headlines
- висота
- хіт
- hover
- Однак
- HTTPS
- Біль
- однаковий
- ідентифікатор
- зображення
- in
- В інших
- включати
- включені
- У тому числі
- невірно
- встановлювати
- замість
- взаємодія
- внутрішній
- IT
- ЙОГО
- сам
- Java
- Дитина
- ЛАГ
- Лас-Вегас
- останній
- провідний
- Залишати
- догляд
- libraries
- як
- трохи
- розташування
- Довго
- шукати
- ВИГЛЯДИ
- серія
- made
- керівництво
- вручну
- багато
- березня
- Маржа
- маркер
- макс-ширина
- Медіа
- Microsoft
- може бути
- помилка
- модифікований
- момент
- більше
- ім'я
- а саме
- Необхідність
- необхідний
- Нові
- новини
- нормальний
- особливо
- номер
- of
- Старий
- on
- ONE
- онлайн
- відкрити
- відкритий
- відкриття
- Думка
- порядок
- Інше
- поза
- власний
- частини
- пластир
- Пол
- Люди
- виконувати
- може бути
- телефони
- Крок
- піксель
- plato
- Інформація про дані Платона
- PlatoData
- Подкаст
- положення
- пошта
- Пости
- попередній
- первинний
- недоторканність приватного життя
- приватний
- ймовірно
- Проблема
- проблеми
- Програмування
- громадськість
- put
- Швидко
- швидко
- Причини
- отримано
- запис
- Відновлювати
- відновлення
- правила
- повторний
- Вимагається
- виявлення
- повернути
- позбавитися
- дорога
- то ж
- зберегти
- скріншоти
- Сезон
- безпеку
- відправка
- кілька
- Поділитись
- поділ
- Повинен
- аналогічний
- просто
- з
- ситуація
- менше
- відстеження
- So
- соціальна
- соціальні медіа
- Софтвер
- solid
- деякі
- Простір
- спеціальний
- старт
- залишатися
- Стоп
- зберігати
- такі
- напевно
- SVG
- приймає
- балаканина
- Переговори
- Тестування
- Що
- Команда
- Їх
- думка
- до
- сьогодні
- інструмент
- інструменти
- топ
- перехід
- прозорий
- правда
- Uncommon
- необов'язково
- відповідний сучасним вимогам
- Оновити
- оновлений
- Updates
- оновлення
- завантажено
- URL
- us
- використання
- користувач
- користувачі
- значення
- VEGAS
- перевірити
- версія
- через
- глядачів
- хотів
- шлях..
- веб-сайт
- week
- тижня
- Що
- який
- в той час як
- windows
- windows 11
- Користувачі Windows
- з
- без
- слова
- робочий
- б
- письмовий
- вашу
- зефірнет
