Microsoft выпускает обновление для Win10 Snip & Sketch, Win11 Snipping Tool для устранения уязвимости конфиденциальности

Microsoft наконец решила проблему Ошибка акропалипсиса в Windows 10 Snip & Sketch и Инструмент для обрезки Windows 11 путем выпуска обновлений безопасности, которые доводят служебные инструменты до версий 11.2302.20.0 и 10.2008.3001.0 соответственно. Обновления теперь доступны через Microsoft Store.

Несколько дней назад эксперты обнаружили, что уязвимость конфиденциальности Acropalypse, о которой сообщалось, затрагивающая инструмент разметки Google Pixel, также присутствовала в Windows 10 Snip & Sketch и Windows 11 Snipping Tool. Проблема позволяет инструментам сохранять данные об удаленных частях обрезанных объектов вместо их полного удаления после перезаписи исходного файла. Это создает возможные проблемы, особенно когда инструменты, затронутые Acropalypse, используются для обрезки конфиденциальных изображений.

Тем не менее, Microsoft заявила, что Acropalypse, который теперь называется CVE-2023-28303 (уязвимость раскрытия информации Windows Snipping Tool) представляет собой уязвимость с низким уровнем серьезности из-за определенных условий, которые необходимо выполнить. В частности, компания из Редмонда пояснила, что «успешная эксплуатация требует необычного взаимодействия с пользователем и нескольких факторов, находящихся вне контроля злоумышленника».

• Пользователь должен сделать снимок экрана, сохранить его в файл, изменить файл (например, обрезать его), а затем сохранить измененный файл в том же месте.
• Пользователь должен открыть изображение в Snipping Tool, изменить файл (например, обрезать его), а затем сохранить измененный файл в том же месте.