Microsoft Assigns CVE To Snipping Tool Bug, Pushes Patch To Store

افلاطون کے ذریعہ دوبارہ شائع کیا گیا۔

فالونگ: 0

گزشتہ ہفتہ تھا۔ کروپالیپس ہفتہ، جہاں گوگل پکسل امیج کراپنگ ایپ میں ایک بگ نے سرخیاں بنائیں، اور صرف اس وجہ سے نہیں کہ اس کا ایک فنکی نام تھا۔

(ہم نے یہ رائے قائم کی کہ یہ نام تھوڑا سا OTT تھا، لیکن ہم تسلیم کرتے ہیں کہ اگر ہم خود اس کے بارے میں سوچتے، تو ہم اسے صرف اس کی ورڈ پلے ویلیو کے لیے استعمال کرنا چاہتے تھے، حالانکہ یہ نکلا آپ کے خیال سے بلند آواز میں کہنا مشکل ہے۔)

یہ بگ اس قسم کی پروگرامنگ غلطی تھی جسے کوئی بھی کوڈر بنا سکتا تھا، لیکن بہت سے ٹیسٹرز اس سے محروم ہو سکتے ہیں:

جب آپ سڑک پر ہوتے ہیں تو تصویری کٹائی کے ٹولز بہت کارآمد ہوتے ہیں اور آپ ایک امپلس تصویر شیئر کرنا چاہتے ہیں، جس میں شاید ایک بلی شامل ہو، یا کوئی دل لگی اسکرین شاٹ، جس میں سوشل میڈیا پر کوئی بیکار پوسٹنگ یا ویب سائٹ پر پاپ اپ ہونے والا عجیب و غریب اشتہار شامل ہو۔ .

لیکن جلدی سے کھینچی گئی تصویریں یا جلد بازی میں پکڑے گئے اسکرین شاٹس میں اکثر ایسے بٹس شامل ہوتے ہیں جو آپ نہیں چاہتے کہ دوسرے لوگ دیکھیں۔

کبھی کبھی، آپ کسی تصویر کو تراشنا چاہتے ہیں کیونکہ یہ صرف اس وقت بہتر نظر آتی ہے جب آپ کسی بھی بیرونی مواد کو کاٹ دیتے ہیں، جیسے کہ بائیں ہاتھ کی جانب سے گریفیٹی سے بھرے بس اسٹاپ کو۔

تاہم، بعض اوقات، آپ اسے شائستگی کے ساتھ ترمیم کرنا چاہتے ہیں، جیسے کہ آپ کے مقام یا صورت حال کو غیر ضروری طور پر ظاہر کرکے آپ کی اپنی (یا کسی اور کی) رازداری کو نقصان پہنچانے والی تفصیلات کاٹنا۔

اسکرین شاٹس کے لیے بھی یہی بات درست ہے، جہاں غیر معمولی مواد میں آپ کے اگلے دروازے کے براؤزر کے ٹیب کا مواد، یا پرائیویسی ای میل کے براہ راست نیچے موجود پرائیویسی ای میل شامل ہوسکتا ہے، جسے آپ کو رازداری کے ضوابط کے دائیں جانب رہنے کے لیے کاٹنا ہوگا۔ .

.s-بٹن+.s-بٹن { مارجن-بائیں: .3125rem; } .s-بٹن { منتقلی: تمام .15s لکیری؛ فونٹ سائز: .875rem; لائن کی اونچائی: 1.5؛ رنگ: #f2f2f2؛ فونٹ فیملی: SophosSansMedium، Helvetica Neue، Helvetica، Arial، sans-serif؛ فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ ڈسپلے: ان لائن بلاک؛ پیڈنگ: .3125rem 1.25rem; کرسر: پوائنٹر؛ متن سیدھ: مرکز؛ متن کی سجاوٹ: کوئی نہیں؛ بارڈر: 1px ٹھوس #005bc8؛ سرحدی رداس: 3px؛ پس منظر کا رنگ: #005bc8؛ ٹیکسٹ شیڈو: کوئی نہیں؛ } .s-بٹن: ہوور { ٹیکسٹ ڈیکوریشن: کوئی نہیں؛ رنگ: #fff؛ بارڈر کا رنگ: #002d62؛ پس منظر کا رنگ: #002d62؛ } .s-بٹن–سفید، .s-بٹن–سفید: ہوور { رنگ: #005bc8 !اہم؛ بارڈر کا رنگ: #fff؛ پس منظر کا رنگ: #fff؛ } .s-ad-sophos-mdr { فونٹ سائز: 1rem; لائن کی اونچائی: 1.5؛ رنگ: #242629؛ فونٹ فیملی: SophosSansRegular، Helvetica Neue، Helvetica، Arial، sans-serif؛ فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ پوزیشن: رشتہ دار زیادہ سے زیادہ چوڑائی: 769px؛ مارجن: 15px آٹو؛ پیڈنگ: 30px 30px 25px؛ منتقلی: box-shadow .25s کیوبک-bezier( .645, .045, .355, 1 ); متن کی سیدھ: مرکز؛ پس منظر کا رنگ: #0d141d؛ background-repeat: no-repeat؛ پس منظر کی پوزیشن: 50٪؛ پس منظر کا سائز: کور باکس شیڈو: 0 0 0 0 0 شفاف؛ پس منظر کا رنگ: #005bc8؛ پس منظر کی تصویر: کوئی نہیں؛ پس منظر کی پوزیشن: 0 0; } .s-ad-sophos-mdr__title { فونٹ سائز: 2rem; لائن کی اونچائی: 1.125؛ مارجن نیچے: 4px؛ رنگ: #fff؛ } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ فونٹ سائز: 17px؛ رنگ: #fff؛ } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-بٹن { رنگ: #fff; } .s-ad-sophos-mdr__link- wrapper { متن کی سجاوٹ: کوئی نہیں؛ } .s-ad-sophos-mdr__link-wrapper: hover .s-ad-sophos-mdr { باکس شیڈو: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { پوزیشن: مطلق؛ اوپر: 15px؛ دائیں: 15px؛ } .s-ad-sophos-mdr__sophos-logo-svg { ڈسپلے: ان لائن بلاک؛ چوڑائی: 64px؛ اونچائی: 11px؛ عمودی سیدھ: اوپر؛ background-repeat: no-repeat؛ پس منظر کا سائز: 64px 11px؛ } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ فونٹ سائز: 28px؛ فونٹ کا وزن: 700؛ لائن کی اونچائی: 1؛ مارجن نیچے: 10px؛ متن سیدھ کریں: بائیں؛ } .s-ad-sophos-mdr__title svg { زیادہ سے زیادہ چوڑائی: 100%; } .s-ad-sophos-mdr__text { فونٹ سائز: 16px; لائن کی اونچائی: 1.25؛ متن سیدھ کریں: بائیں؛ } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s- بٹن { بارڈر ریڈیئس: 20px؛ } @media (کم سے کم چوڑائی:769px) { .s-ad-sophos-mdr__text { مارجن-دائیں: 140px; } .s-ad-sophos-mdr__action { پوزیشن: مطلق؛ دائیں: 30px؛ نیچے: 30px؛ } } @media (زیادہ سے زیادہ چوڑائی: 768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { فونٹ سائز: 1.625rem; } .s-ad-sophos-mdr__text { فونٹ سائز: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

شیئر کرنے سے پہلے ہوشیار رہیں

سیدھے الفاظ میں، تصاویر اور اسکرین شاٹس بھیجنے سے پہلے ان کو تراشنے کی ایک بنیادی وجہ یہ ہے کہ آپ اس مواد سے چھٹکارا حاصل کریں جسے آپ شیئر نہیں کرنا چاہتے۔

تو، ہماری طرح، آپ نے شاید یہ فرض کیا ہے کہ اگر آپ نے کسی تصویر یا اسکرین شاٹ سے بٹس کاٹ کر مارا [Save]، پھر بھی اگر ایپ نے آپ کی ترامیم کا ریکارڈ رکھا ہے تاکہ آپ انہیں بعد میں واپس کر سکیں اور اصل کو بازیافت کر سکیں…

…وہ کٹے ہوئے بٹس اس ترمیم شدہ فائل کی کسی بھی کاپی میں شامل نہیں ہوں گے جسے آپ نے آن لائن پوسٹ کرنے، اپنے chums کو ای میل کرنے، یا کسی دوست کو بھیجنے کا انتخاب کیا ہے۔

تاہم، گوگل پکسل مارک اپ ایپ نے ایسا نہیں کیا، جس کی وجہ سے ایک بگ ظاہر ہوا۔ CVE-2023-20136.

جب آپ ترمیم شدہ تصویر کو پرانی تصویر پر محفوظ کرتے ہیں، اور پھر اپنی تبدیلیوں کو چیک کرنے کے لیے اسے بیک اپ کھولتے ہیں، تو نئی تصویر اپنی تراشی ہوئی شکل میں ظاہر ہوگی، کیونکہ کراپ شدہ ڈیٹا پچھلے ورژن کے آغاز پر درست لکھا جائے گا۔

جو بھی خود ایپ کی جانچ کر رہا ہے، یا اس کی تصدیق کرنے کے لیے تصویر کو کھولتا ہے "ابھی دیکھا ہے" اس کا نیا مواد دیکھے گا، اور اس سے زیادہ کچھ نہیں۔

لیکن پرانی فائل کے شروع میں لکھے گئے اعداد و شمار کے بعد ایک خاص اندرونی مارکر کہا جائے گا، "آپ اب روک سکتے ہیں؛ اس کے بعد کسی بھی ڈیٹا کو نظر انداز کریں"، مکمل طور پر غلط طریقے سے اس کے بعد تمام ڈیٹا جو اس کے بعد ظاہر ہوتا تھا۔ فائل کے پرانے ورژن میں۔

جب تک کہ نئی فائل پرانی فائل سے چھوٹی تھی (اور جب آپ کسی تصویر کے کناروں کو کاٹتے ہیں، تو آپ توقع کرتے ہیں کہ نیا ورژن چھوٹا ہوگا)، کم از کم پرانی تصویر کے کچھ ٹکڑے نئی فائل کے آخر میں بچ جائیں گے۔ .

روایتی، اچھے برتاؤ والے تصویری ناظرین، بشمول وہ ٹول جسے آپ نے ابھی فائل تراشنے کے لیے استعمال کیا ہے، اضافی ڈیٹا کو نظر انداز کر دیں گے، لیکن جان بوجھ کر کوڈ شدہ ڈیٹا ریکوری یا اسنوپنگ ایپس ایسا نہیں کر سکتے۔

پکسل کے مسائل کہیں اور دہرائے گئے۔

گوگل کے بگی پکسل فونز کو مارچ 2023 کے اینڈرائیڈ اپ ڈیٹ میں بظاہر پیچ کیا گیا تھا، اور اگرچہ کچھ پکسل ڈیوائسز کو اس ماہ کی اپ ڈیٹس معمول سے دو ہفتے بعد موصول ہوئی ہیں، لیکن تمام پکسلز کو اب اپ ٹو ڈیٹ ہونا چاہیے، یا اگر آپ ایک کارکردگی کا مظاہرہ کرتے ہیں تو ان کو زبردستی اپ ڈیٹ کیا جا سکتا ہے۔ دستی اپ ڈیٹ چیک.

لیکن بگ کا یہ طبقہ، یعنی ڈیٹا کو ایک پرانی فائل میں پیچھے چھوڑ دیتا ہے جسے آپ غلطی سے اوور رائٹ کرتے ہیں، بجائے اس کے کہ اس کے پرانے مواد کو پہلے تراشیں، نظریہ طور پر تقریباً کسی بھی ایپ میں اس کے ساتھ ظاہر ہو سکتا ہے۔ [Save] خصوصیت، خاص طور پر دیگر امیج کراپنگ اور اسکرین شاٹ ٹرمنگ ایپس سمیت۔

اور ونڈوز 11 دونوں سے زیادہ دیر نہیں گزری۔ ٹکڑے کرنے والے آلات، کترنے والے آلات، چھوٹا چھوٹا کرنے والے آلات اور ونڈوز 10 اسنیپ اور خاکہ ایپ کو پایا گیا۔ ایک ہی خامی ہے:

آپ فائل کو جلدی اور آسانی سے تراش سکتے ہیں، لیکن اگر آپ نے ایک [Save] پرانی فائل کے اوپر اور نہیں a [Save As] ایک نئی فائل میں، جہاں پیچھے چھوڑنے کے لیے کوئی پچھلا مواد نہیں ہوگا، ایسی ہی قسمت آپ کا انتظار کرے گی۔

بگس کی نچلی سطح کی وجوہات مختلف ہیں، کم از کم اس لیے نہیں کہ گوگل کا سافٹ ویئر جاوا طرز کی ایپ ہے اور جاوا لائبریریوں کا استعمال کرتا ہے، جب کہ مائیکروسافٹ کی ایپس C++ میں لکھی جاتی ہیں اور ونڈوز لائبریریوں کا استعمال کرتی ہیں، لیکن لیک ہونے والے ضمنی اثرات ایک جیسے ہیں۔

ہمارے دوست اور ساتھی چیسٹر وسنیوسکی کے طور پر quipped پچھلے ہفتے کے پوڈ کاسٹ میں، "مجھے شبہ ہے کہ اگست میں لاس ویگاس میں بہت ساری بات چیت ہو سکتی ہے جس پر دیگر ایپلی کیشنز میں اس پر بحث ہو رہی ہے۔" (اگست بلیک ہیٹ اور DEF CON ایونٹس کا سیزن ہے۔)

کیا کیا جائے؟

ونڈوز صارفین کے لیے اچھی خبر یہ ہے کہ مائیکروسافٹ نے اب شناخت کنندہ کو تفویض کر دیا ہے۔ CVE-2023-28303 اس پر اپنا ذائقہ کی کروپالیپس بگ، اور اس نے مائیکروسافٹ اسٹور پر متاثرہ ایپس کے پیچ شدہ ورژن اپ لوڈ کیے ہیں۔

ہمارے اپنے ونڈوز 11 انٹرپرائز ایڈیشن انسٹال میں، ونڈوز اپ ڈیٹ نے کچھ نیا یا پیچ نہیں دکھایا جس کی ہمیں پچھلے ہفتے سے ضرورت تھی، لیکن دستی طور پر اپ ڈیٹ کرنا ٹکڑے کرنے والے آلات، کترنے والے آلات، چھوٹا چھوٹا کرنے والے آلات مائیکروسافٹ اسٹور کے ذریعے ایپ نے ہمیں 11.2302.4.0 سے اپ ڈیٹ کیا۔ 11.2302.20.0.

ہمیں یقین نہیں ہے کہ اگر آپ بگی ونڈوز 10 کو کھولتے ہیں تو آپ کو کون سا ورژن نمبر نظر آئے گا۔ اسنیپ اور خاکہ ایپ، لیکن مائیکروسافٹ اسٹور سے اپ ڈیٹ کرنے کے بعد، آپ کو تلاش کرنا چاہیے۔ 10.2008.3001.0 یا بعد میں.

مائیکروسافٹ اسے کم شدت والا بگ سمجھتا ہے، اس بنیاد پر "کامیاب استحصال کے لیے صارف کی غیر معمولی بات چیت اور حملہ آور کے کنٹرول سے باہر کئی عوامل کی ضرورت ہوتی ہے۔"

ہمیں یقین نہیں ہے کہ ہم اس تشخیص سے پوری طرح متفق ہیں، کیونکہ مسئلہ یہ نہیں ہے کہ کوئی حملہ آور آپ کو کسی تصویر کے کچھ حصوں کو چرانے کے لیے تراش سکتا ہے۔ (یقینی طور پر وہ آپ سے بات کریں گے کہ پہلے اسے کاٹنے کی پریشانی کے بغیر پوری فائل انہیں بھیج دیں؟)

مسئلہ یہ ہے کہ آپ بالکل اسی ورک فلو کی پیروی کر سکتے ہیں جسے مائیکروسافٹ کسی تصویر یا اسکرین شاٹ کو شیئر کرنے سے پہلے حفاظتی احتیاط کے طور پر "غیر معمولی" سمجھتا ہے، صرف یہ معلوم کرنے کے لیے کہ آپ نے غیر ارادی طور پر عوامی جگہ پر وہی ڈیٹا لیک کیا ہے جسے آپ نے سوچا تھا کہ آپ نے کاٹ لیا ہے۔

سب کے بعد، کے لئے مائیکروسافٹ سٹور کی اپنی پچ ٹکڑے کرنے والے آلات، کترنے والے آلات، چھوٹا چھوٹا کرنے والے آلات اسے ایک فوری طریقہ کے طور پر بیان کرتا ہے۔ "محفوظ کریں، پیسٹ کریں یا دیگر ایپس کے ساتھ شئیر کریں۔"

دوسرے الفاظ میں: دیر نہ کریں، آج ہی اس کو ٹھیک کریں۔

اس میں صرف ایک لمحہ لگتا ہے۔

SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
ماخذ: https://nakedsecurity.sophos.com/2023/03/27/microsoft-assigns-cve-to-snipping-tool-bug-pushes-patch-to-store/

ٹائم اسٹیمپ: مارچ 27، 2023

ٹائم اسٹیمپ: اکتوبر 10، 2022

افلاطون کے ذریعہ دوبارہ شائع کیا گیا۔

گوزی میلویئر ٹرائیکا کا آخری رکن فوجداری مقدمے کے لیے امریکہ پہنچ گیا۔

LastPass سورس کوڈ کی خلاف ورزی - کیا ہم اب بھی پاس ورڈ مینیجرز کی سفارش کرتے ہیں؟

کرپٹولوجی میں خواتین - USPS WW2 کوڈ بریکرز کا جشن منا رہا ہے۔

پاس ورڈ کا عالمی دن: 2 + 2 = 4

سنجیدہ سیکیورٹی: OAuth 2 اور آخر مائیکروسافٹ آپ کو اس میں کیوں مجبور کر رہا ہے۔

ہمارے متعلق

عمودی تلاش اور Ai

پلیٹ فارم

مربوط رہو

اکاؤنٹ