Нещодавно дослідники повідомили про вразливість aCropalypse, яку виявили в інструментах для створення скриншотів Pixel — однак, схоже, Google була не єдиною компанією, яка припустилася такої помилки.
Повідомляється, що інструмент Snipping Tool від Microsoft для Windows 11 та Snip & Sketch у Windows 10 мають дуже схожий експлойт — отже скриншоти, які ви виклали в інтернет, можуть містити інформацію, яка не призначена для загалу.
Дослідник Девід Бьюкенен пише, що якщо зробити знімок екрана за допомогою одного з вказаних інструментів, зберегти його, а потім обрізати та знову зберегти — дані можуть бути доступними у тому самому файлі. Щоб побачити прихований вміст можна використовувати майже такий самий код, що й для смартфонів Pixel.
holy FUCK.
Windows Snipping Tool is vulnerable to Acropalypse too.
An entirely unrelated codebase.
The same exploit script works with minor changes (the pixel format is RGBA not RGB)
Tested myself on Windows 11 https://t.co/5q2vb6jWOn pic.twitter.com/ovJKPr0x5Y
— David Buchanan (@David3141593) March 21, 2023
Але вразливість, схоже, дещо обмежена за сферою дії, Б’юкенен каже, що експлойт «вимагає збереження-обрізання-збереження» — тобто все буде добре, якщо початковий скриншот включатиме лише певну частину екрана. І хоча інструмент Snip & Sketch у Windows 10 нібито має ту саму проблему, дослідник стверджує, що в оригінальному інструменті Snipping Tool для Windows 10 її немає.
Минулого тижня Девід Бьюкенен і Саймон Ааронс повідомили про вразливість у системі безпеки Google Pixel, яка стосується стандартної утиліти Markup і дозволяє частково «скасовувати» редагування скриншотів. Google вже закрила вразливість на Pixel 4A, 5A, 7 та 7 Pro у березневому оновленні безпеки. На інших Pixel загроза поки актуальна — перевірити скриншот можна самостійно, завантаживши його на сторінку, що створена Ааронсом та Бьюкененом.
«Ми знаємо про ці звіти, проводимо розслідування та запровадимо необхідні заходи, щоб захистити клієнтів»», — сказала представник Microsoft Рейчел Тогер Візерс.
Джерело: The Verge