Недавно исследователи сообщили об уязвимости aCropalypse, которую обнаружили в инструментах для создания скриншотов Pixel — однако, похоже, Google была не единственной компанией, допустившей подобную ошибку.
Сообщается, что инструмент Snipping Tool от Microsoft для Windows 11 и Snip & Sketch в Windows 10 имеют очень похожий эксплойт — следовательно, скриншоты, выложенные в интернет, могут содержать информацию, которая не предназначена для публики.
Исследователь Дэвид Бьюкенен пишет, что если сделать снимок экрана с помощью одного из указанных инструментов, сохранить его, затем обрезать и снова сохранить — данные могут быть доступны в том же файле. Чтобы увидеть скрытое содержимое, можно использовать почти такой же код, что и для смартфонов Pixel.
holy FUCK.
Windows Snipping Tool is vulnerable to Acropalypse too.
An entirely unrelated codebase.
The same exploit script works with minor changes (the pixel format is RGBA not RGB)
Tested myself on Windows 11 https://t.co/5q2vb6jWOn pic.twitter.com/ovJKPr0x5Y
— David Buchanan (@David3141593) March 21, 2023
Но уязвимость, похоже, несколько ограничена по сфере действия, Бьюкенен говорит, что эксплойт «требует сохранения-обрезки-сохранения» — то есть все будет хорошо, если начальный скриншот будет включать только часть экрана. И хотя инструмент Snip&Sketch в Windows 10 якобы испытывает ту же проблему, исследователь утверждает, что в оригинальном инструменте Snipping Tool для Windows 10 ее нет.
На прошлой неделе Дэвид Бьюкенен и Саймон Ааронс сообщили об уязвимости в системе безопасности Google Pixel, которая касается стандартной утилиты Markup и позволяет частично «отменять» редактирование скриншотов. Google уже закрыла уязвимость на Pixel 4A, 5A, 7 и 7 Pro в мартовском обновлении безопасности. На других Pixel угроза пока актуальна – проверить скриншот можно самостоятельно, загрузив его на страницу, созданную Ааронсом и Бьюкененом.
«Мы знаем об этих отчетах, проводим расследование и введем необходимые меры, чтобы защитить клиентов», — сказала представитель Microsoft Рэйчел Тогер Уизерс.
Источник: The Verge