Microsoft phát hành bản cập nhật cho Win10 Snip & Sketch, Win11 Snipping Tool để giải quyết lỗ hổng bảo mật

Microsoft cuối cùng đã giải quyết lỗ hổng acropalypse trong Windows 10 Snip & Sketch và Công cụ cắt Windows 11 bằng cách phát hành các bản cập nhật bảo mật đưa các công cụ tiện ích lên phiên bản 11.2302.20.0 và phiên bản 10.2008.3001.0 tương ứng. Các bản cập nhật hiện có sẵn thông qua Microsoft Store.

Vài ngày trước, các chuyên gia đã phát hiện ra rằng lỗ hổng bảo mật Acropalypse được báo cáo ảnh hưởng đến Công cụ đánh dấu của Google Pixel cũng có trong Windows 10 Snip & Sketch và Windows 11 Snipping Tool của Microsoft. Sự cố này cho phép các công cụ giữ lại dữ liệu của các phần đã xóa của các tính năng đã cắt thay vì xóa hoàn toàn chúng sau khi ghi đè lên tệp gốc. Điều này đặt ra các vấn đề có thể xảy ra, đặc biệt là khi các công cụ bị ảnh hưởng bởi Acropalypse được sử dụng để cắt các hình ảnh nhạy cảm.

Tuy nhiên, Microsoft cho biết Acropalypse, hiện được gọi là CVE-2023-28303 (Windows Snipping Tool Information Disclosure Vulnerability), là một lỗ hổng có mức độ nghiêm trọng thấp do phải đáp ứng các điều kiện cụ thể. Đặc biệt, công ty Redmond giải thích rằng “việc khai thác thành công đòi hỏi sự tương tác của người dùng không phổ biến và một số yếu tố nằm ngoài tầm kiểm soát của kẻ tấn công.”

• Người dùng phải chụp ảnh màn hình, lưu nó vào một tệp, sửa đổi tệp (ví dụ: cắt nó), sau đó lưu tệp đã sửa đổi vào cùng một vị trí.
• Người dùng phải mở một hình ảnh trong Snipping Tool, sửa đổi tệp (ví dụ: cắt ảnh), sau đó lưu tệp đã sửa đổi vào cùng một vị trí.