.webp)
أصدرت Microsoft تحديثًا خارج النطاق لمعالجة عيب يهدد الخصوصية في أداة تحرير لقطة الشاشة لنظامي التشغيل Windows 10 و Windows 11.
يمكن لهذه المشكلة ، التي يطلق عليها اسم aCropalypse ، تمكين الجهات الخبيثة من استعادة الأجزاء التي تم تعديلها من لقطات الشاشة ، مما قد يكشف عن معلومات حساسة ربما تم حذفها.
تم تتبع الثغرة الأمنية باعتبارها CVE-2023-28303 ، وتم تصنيفها على أنها 3.3 في نظام تسجيل CVSS. إنه يؤثر على كل من تطبيق Snip & Sketch على نظام التشغيل Windows 10 وأداة Snipping Tool على Windows 11.
وقالت مايكروسوفت في تقرير استشاري صدر في 24 مارس 2023: "إن شدة هذه الثغرة الأمنية منخفضة لأن الاستغلال الناجح يتطلب تفاعل مستخدم غير مألوف وعدة عوامل خارجة عن سيطرة المهاجم" .
يتطلب الاستغلال الناجح استيفاء الشرطين التاليين -
- يجب على المستخدم التقاط لقطة شاشة وحفظها في ملف وتعديل الملف (على سبيل المثال ، اقتصاصه) ، ثم حفظ الملف المعدل في نفس الموقع.
- يجب على المستخدم فتح صورة في أداة القصاصة ، وتعديل الملف (على سبيل المثال ، قصه) ، ثم حفظ الملف المعدل في نفس الموقع.
ومع ذلك ، فإنه لا يؤثر على السيناريوهات التي يتم فيها نسخ صورة من أداة القطع أو تعديلها قبل حفظها.
"إذا التقطت لقطة شاشة لكشف حسابك المصرفي ، وقمت بحفظه على سطح المكتب ، واقتصاص رقم حسابك قبل حفظه في نفس الموقع ، فقد تظل الصورة التي تم اقتصاصها تحتوي على رقم حسابك بتنسيق مخفي يمكن لأي شخص استرداده من لديه حق الوصول إلى ملف الصورة الكامل ، "توضح Microsoft.
"ومع ذلك ، إذا قمت بنسخ الصورة التي تم اقتصاصها من أداة القصاصة ولصقها في بريد إلكتروني أو مستند ، فلن يتم نسخ البيانات المخفية ، وسيكون رقم حسابك آمنًا."
تمت معالجة الثغرة الأمنية داخل التطبيق الإصدار 10.2008.3001.0 من Snip and Sketch المثبت على Windows 10 والإصدار 11.2302.20.0 من أداة القطع المثبتة على Windows 11.
ظهر aCropalypse لأول مرة في 18 مارس 2022 ، عندما تم اكتشاف وجود خطأ في أداة Google Pixel Markup جعل من الممكن عكس التغييرات التي تم إدخالها على لقطات الشاشة بأثر رجعي ، وبالتالي استعادة المعلومات الشخصية من لقطات الشاشة المنقحة والصور ، بما في ذلك تلك التي تم تنقيحها اقتصاصها أو إخفاء محتوياتها.
يعود الفضل في اكتشاف المشكلة إلى المهندسين العكسيين سيمون آرونز وديفيد بوكانان. تم الإبلاغ عن العيب شديد الخطورة المتعلق بـ Pixel ، والذي تم تتبعه كـ CVE-2023-21036 ، إلى Google في 2 يناير 2023 ، وتم إصلاحه عبر تحديث تم إصداره في 6 مارس 2023 لهواتف Pixel 4A و 5A و 7 و 7 Pro الأجهزة.
كان هذا القصور موجودًا منذ إصدار أداة Markup مع Android 9 Pie في عام 2018 ، والصور التي تمت مشاركتها بالفعل على مدار السنوات الخمس الماضية معرضة لهجوم Acropalypse ، مما يثير مخاوف الخصوصية المحتملة.
قال بوكانان في تغريدة على تويتر: "يمكنك تصحيحه ، لكن لا يمكنك بسهولة إلغاء مشاركة كل الصور الضعيفة التي ربما تكون قد أرسلتها" ، واصفًا إياها بأنها "سيئة".
تم الكشف مؤخرًا عن مشكلة مماثلة تتعلق بالاقتصاص القابل للعكس في محرر مستندات Google أيضًا ، مما يسمح للمستخدمين الذين لديهم حق الوصول للعرض فقط باستعادة الإصدارات الأصلية من الصور التي تم اقتصاصها في المستندات المشتركة دون الحصول على أذونات التحرير للقيام بذلك.