หลังจากการค้นพบช่องโหว่ร้ายแรงในแอป Snipping Tool สำหรับ Windows 11 และ Snip & Sketch ใน Windows 10 Microsoft ได้เปิดตัวการอัปเดตภายนอกเพื่ออุดช่องโหว่ด้านความปลอดภัย
ข้อบกพร่องคือ คล้ายกับบั๊ก aCropalypse ที่เพิ่งค้นพบซึ่งส่งผลกระทบต่อโทรศัพท์มือถือ Pixel ทำให้สามารถ”คลาย”ภาพที่ครอบตัดและอาจเปิดเผยข้อมูลที่ละเอียดอ่อน หลังจากทดสอบการอัปเดตสั้นๆ กับ Windows Insider แล้ว ขณะนี้ Microsoft ได้ทำการแก้ไขสำหรับผู้ใช้ Windows 10 และ Windows 11 ทุกคน
ดูเพิ่มเติมที่:
ช่องโหว่ที่ถูกติดตามเป็น CVE-2023-28303 จัดว่ามีความรุนแรงต่ำ เนื่องจาก Microsoft กล่าวว่าสถานการณ์ที่ช่องโหว่สามารถเปิดเผยข้อมูลนั้นหายาก เนื่องจากสิ่งที่คุณต้องทำคือบันทึกภาพหน้าจอในเครื่องมือ Snipping Tool หรือ Snips & Sketch ครอบตัดรูปภาพดังกล่าวแล้วบันทึกด้วยชื่อเดียวกัน ความเป็นไปได้จึงดูเหมือนมากกว่าที่ Microsoft จะให้ผู้ใช้เชื่อ
บริษัท อธิบาย:
ตามเมตริก CVSS ต้องมีการโต้ตอบกับผู้ใช้ (UI:R) ผู้ใช้จะต้องดำเนินการโต้ตอบอย่างไรกับช่องโหว่ที่มีความรุนแรงต่ำนี้
ความรุนแรงของช่องโหว่นี้มีระดับต่ำ เนื่องจากการเจาะช่องโหว่ที่ประสบความสำเร็จต้องอาศัยการโต้ตอบของผู้ใช้ที่ไม่ธรรมดาและปัจจัยหลายอย่างที่อยู่นอกเหนือการควบคุมของผู้โจมตี เพื่อให้รูปภาพอยู่ภายใต้ปัญหานี้ ผู้ใช้ต้องสร้างขึ้นภายใต้เงื่อนไขเฉพาะ:
1. ผู้ใช้ต้องถ่ายภาพหน้าจอ บันทึกลงในไฟล์ แก้ไขไฟล์ (เช่น ครอบตัด) จากนั้นบันทึกไฟล์ที่แก้ไขไปยังตำแหน่งเดียวกัน
2. ผู้ใช้ต้องเปิดรูปภาพในเครื่องมือสนิป แก้ไขไฟล์ (เช่น ครอบตัด) จากนั้นบันทึกไฟล์ที่แก้ไขไปยังตำแหน่งเดียวกัน
กรณีการใช้งานทั่วไป เช่น การคัดลอกรูปภาพจากเครื่องมือสนิปหรือ การแก้ไขก่อนบันทึกจะไม่ได้รับผลกระทบ
ตัวอย่างเช่น หากคุณถ่ายภาพหน้าจอใบแจ้งยอดจากธนาคาร บันทึกไว้ที่เดสก์ท็อป และครอบตัดหมายเลขบัญชีของคุณก่อนที่จะบันทึกลงในตำแหน่งเดียวกัน ภาพที่ครอบตัดอาจยังมีหมายเลขบัญชีของคุณในรูปแบบที่ซ่อนอยู่ ซึ่งผู้ที่มีสิทธิ์เข้าถึงไฟล์ภาพทั้งหมดสามารถกู้คืนได้ อย่างไรก็ตาม หากคุณคัดลอกรูปภาพที่ครอบตัดจากเครื่องมือสนิปแล้ววางลงในอีเมลหรือเอกสาร ข้อมูลที่ซ่อนอยู่จะไม่ถูกคัดลอก และหมายเลขบัญชีของคุณจะปลอดภัย
การอัปเดตคือ พร้อมใช้งานแล้วสำหรับแอปที่ได้รับผลกระทบผ่านทาง Microsoft Store; เพียงตรวจสอบให้แน่ใจว่า Snip & Sketch ของ Windows 10 เป็นเวอร์ชัน 10.2008.3001.0 หรือใหม่กว่า และในกรณีของ Windows 11 เครื่องมือ Snipping Tool เวอร์ชัน 11.2302.20.0 หรือใหม่กว่าได้รับการติดตั้งแล้ว
เครดิตรูปภาพ: วาดิมวาเซนิน/ฝากรูปภาพ