Nach der Entdeckung schwerwiegender Schwachstellen in der Snipping Tool-App für Windows 11 und Snip & Sketch in Windows 10 hat Microsoft Out-of-Band-Updates veröffentlicht, um die Sicherheitslücken zu schließen.
Die Schwachstellen sind ähnlich dem kürzlich entdeckten aCropalypse-Fehler, der Pixel-Handys betrifft und es ermöglicht, beschnittene Bilder”unzuschneiden”und möglicherweise vertrauliche Informationen offenzulegen. Nachdem Microsoft die Updates kurz mit Windows Insidern getestet hat, hat es nun allen Benutzern von Windows 10 und Windows 11 Fixes zur Verfügung gestellt.
Siehe auch:
Die Schwachstelle, verfolgt als CVE-2023-28303, wurde als niedriger Schweregrad eingestuft, da Microsoft sagt, dass die Szenarien, in denen die Schwachstellen Daten offenlegen könnten, selten sind. Da alles, was getan werden muss, darin besteht, einen Screenshot in Snipping Tool oder Snips & Sketch zu speichern, das Bild zuzuschneiden und es unter demselben Namen zu speichern, scheint die Wahrscheinlichkeit größer zu sein, als Microsoft den Benutzern glauben machen möchte.
Das Unternehmen erklärt:
Gemäß der CVSS-Metrik ist eine Benutzerinteraktion erforderlich (UI:R). Welche Interaktion müsste der Benutzer für diese Schwachstelle mit niedrigem Schweregrad durchführen?
Die Schwere dieser Schwachstelle ist niedrig, da eine erfolgreiche Ausnutzung eine ungewöhnliche Benutzerinteraktion und mehrere Faktoren erfordert, die außerhalb der Kontrolle eines Angreifers liegen. Damit ein Bild von diesem Problem betroffen ist, muss ein Benutzer es unter bestimmten Bedingungen erstellt haben:
1. Der Benutzer muss einen Screenshot machen, ihn in einer Datei speichern, die Datei ändern (z. B. zuschneiden) und dann die geänderte Datei am selben Ort speichern.
2. Der Benutzer muss ein Bild im Snipping Tool öffnen, die Datei ändern (z. B. zuschneiden) und dann die geänderte Datei am selben Ort speichern.
Häufige Anwendungsfälle wie das Kopieren des Bilds aus dem Snipping Tool oder Änderungen vor dem Speichern sind nicht betroffen.
Wenn Sie beispielsweise einen Screenshot Ihres Kontoauszugs machen, ihn auf Ihrem Desktop speichern und Ihre Kontonummer ausschneiden, bevor Sie ihn am selben Ort speichern, werden die Das zugeschnittene Bild könnte immer noch Ihre Kontonummer in einem versteckten Format enthalten, das von jemandem wiederhergestellt werden könnte, der Zugriff auf die vollständige Bilddatei hat. Wenn Sie jedoch das zugeschnittene Bild aus dem Snipping Tool kopieren und es in eine E-Mail oder ein Dokument einfügen, werden die versteckten Daten nicht kopiert und Ihre Kontonummer ist sicher.
Updates sind jetzt für die betroffenen Apps über den Microsoft Store verfügbar; Stellen Sie einfach sicher, dass Snip & Sketch von Windows 10 Version 10.2008.3001.0 oder höher ist, und im Fall von Windows 11, dass Snipping Tool Version 11.2302.20.0 oder höher installiert ist.
Bildnachweis: Vadim Vasenin/Einlagenfotos