Microsoft je u petak najavio novu ranjivost u otkrivanju informacija zbog greške koja utiče na njegove alate za uređivanje snimaka ekrana u Windows 10 i Windows 11.
Ranjivost (CVE-2023-28303) se zove aCropalypse i može omogućiti hakerima da oporave dijelove snimaka ekrana, potencijalno otkrivajući osjetljive informacije.
Greška utiče na Snip & Sketch u Windows 10 i Snipping Tool u Windows 11 (ali ne i na Snipping Tool u Windows 10) i ima nizak CVSS rezultat od 3,3, prema Microsoft-u, jer zahtijeva interakciju korisnika da bi se iskoristio.
“Ozbiljnost ove ranjivosti je niska jer uspješna eksploatacija zahtijeva neuobičajenu interakciju korisnika i nekoliko faktora izvan kontrole napadača” piše u savjetu.
Da bi napadač iskoristio problem, korisnik mora kreirati sliku pod određenim uslovima:
- Mora napraviti snimak ekrana, sačuvati ga u fajlu, urediti ga i zatim sačuvati modifikovani fajl na istoj lokaciji
- Mora otvoriti sliku u alatu za izrezivanje, urediti je i zatim spremiti izmijenjenu datoteku na istu lokaciju
“Na primjer, ako napravite snimak ekrana svog bankovnog izvoda, sačuvate ga na radnoj površini i izrežete broj svog računa prije nego što ga sačuvate na istoj lokaciji, izrezana slika bi i dalje mogla sadržavati broj vašeg računa u skrivenom formatu koji se može povratiti od nekoga ko ima pristup kompletnoj slikovnoj datoteci” pojasnio je Microsoft.
“Međutim, ako kopirate izrezanu sliku iz alata za izrezivanje i zalijepite je u email ili dokument, skriveni podaci neće biti kopirani i broj Vašeg računa će biti siguran.”
Tehnološki gigant je sada objavio ispravke za nedostatak u oba alata za snimanje ekrana. Korisnici mogu implementirati zakrpe ažuriranjem na verziju 10.2008.3001.0 (Snip and Sketch) i verziju 11.2302.20.0 (Snipping Tool).
Ažuriranja dolaze nekoliko sedmica nakon što je Microsoft ispravio dvije Zero-Day ranjivosti u svom ažuriranju zakrpa za mart.
Izvor: Infosecurity Magazine