在 Windows 11 的 Snip Tool 應用程序和 Windows 10 的 Snip & Sketch 中發現嚴重漏洞後,Microsoft 發布了帶外更新以填補安全漏洞。
缺陷是類似於最近發現的影響 Pixel 手機的 aCropalypse 錯誤,使得“取消裁剪”裁剪圖像並可能暴露敏感信息成為可能。在與 Windows Insiders 進行了簡短的更新測試後,Microsoft 現在已向所有 Windows 10 和 Windows 11 用戶提供修復程序。
另請參閱:
該漏洞被追踪為 CVE-2023-28303,已被歸類為低嚴重性,因為 Microsoft 表示漏洞可能暴露數據的情況很少見。由於所有需要做的就是在 Snipping Tool 或 Snips & Sketch 中保存屏幕截圖,裁剪該圖像並以相同的名稱保存它,這種可能性似乎比微軟讓用戶相信的要大。
公司解釋:
根據 CVSS 指標,需要用戶交互 (UI:R)。用戶必須為此低嚴重性漏洞執行什麼交互?
此漏洞的嚴重性為低,因為成功利用需要不常見的用戶交互和攻擊者無法控制的多個因素。對於受此問題影響的圖像,用戶必須在特定條件下創建它:
1.用戶必須截屏,將其保存到文件,修改文件(例如裁剪),然後將修改後的文件保存到同一位置。
2.用戶必須在 Snipping Tool 中打開圖像,修改文件(例如,裁剪它),然後將修改後的文件保存到同一位置。
常見用例,例如從 Snipping Tool 複製圖像或在保存之前修改它不受影響。
例如,如果您截取銀行對帳單的屏幕截圖,將其保存到桌面,並在保存到同一位置之前裁剪掉您的帳號,則裁剪後的圖像仍可能以隱藏格式包含您的帳號,有權訪問完整圖像文件的人可以恢復該帳號。但是,如果您從 Snipping Tool 複製裁剪後的圖像並將其粘貼到電子郵件或文檔中,則隱藏數據不會被複製,您的帳號將是安全的。
更新是現在可通過 Microsoft Store 獲取受影響的應用程序;只需確保 Windows 10 的 Snip & Sketch 版本為 10.2008.3001.0 或更高版本,如果是 Windows 11,則安裝 Snip Tool 版本 11.2302.20.0 或更高版本。
圖片來源: VadimVasenin/存放照片