An toàn thông tin

Microsoft vá lỗ hổng trong các công cụ Screenshot của Windows

Hạnh Tâm 09:30 28/03/2023

Microsoft đã phát hành một bản cập nhật để xử lý lỗ hổng vi phạm quyền riêng tư trong công cụ chỉnh sửa ảnh chụp màn hình dành cho Windows 10 và Windows 11.

Sự cố này được đặt tên là aCropalypse, có thể cho phép các tác nhân độc hại khôi phục những phần ảnh chụp màn hình đã chỉnh sửa, có khả năng tiết lộ thông tin nhạy cảm đã bị cắt bỏ.

Lỗ hổng có số hiệu là CVE-2023-28303, có số điểm CVSS là 3,3, ảnh hưởng đến ứng dụng Snip & Sketch trên Windows 10 và Snipping Tool trên Windows 11.

a1(1).png

Microsoft cho biết: "Mức độ nghiêm trọng của lỗ hổng này ở mức thấp vì việc khai thác thành công đòi hỏi sự tương tác của người dùng trong trường hợp ít gặp và một số yếu tố nằm ngoài tầm kiểm soát của kẻ tấn công".

Để khai thác thành công cần phải đáp ứng hai điều kiện tiên quyết sau:

1). Người dùng phải chụp ảnh màn hình, lưu nó vào một tệp, sửa đổi tệp (ví dụ: cắt nó), sau đó lưu tệp đã sửa đổi vào cùng một vị trí.

2). Người dùng phải mở một hình ảnh trong Snipping Tool, sửa đổi tệp (ví dụ: cắt ảnh), sau đó lưu tệp đã sửa đổi vào cùng một vị trí.

Tuy nhiên, nó không ảnh hưởng đến các tình huống mà ở đó hình ảnh được sao chép từ công cụ Snipping hoặc được sửa đổi trước khi lưu hình ảnh đó.

Microsoft giải thích: "Nếu bạn chụp ảnh màn hình bảng sao kê ngân hàng của mình, lưu nó vào máy tính để bàn và cắt bỏ số tài khoản của bạn trước khi lưu vào cùng một vị trí, hình ảnh đã cắt vẫn có thể chứa số tài khoản của bạn ở định dạng ẩn, nó có thể khôi phục được thông tin người có quyền truy cập vào tệp hình ảnh hoàn chỉnh. Tuy nhiên, nếu bạn sao chép hình ảnh đã cắt từ Snipping Tool và dán vào email hoặc tài liệu, dữ liệu ẩn sẽ không được sao chép và số tài khoản của bạn sẽ an toàn".

Lỗ hổng đã được xử lý trong phiên bản 10.2008.3001.0 của Snip và Sketch được cài đặt trên Windows 10 và phiên bản 11.2302.20.0 của Snipping Tool được cài đặt trên Windows 11.

a2.png

aCropalypse lần đầu tiên được phát hiện vào ngày 18/3/2022, khi người ta phát hiện ra một lỗi trong công cụ Markup của Google Pixel khiến nó có thể đảo ngược trở về các thay đổi trước khi ảnh chụp màn hình, nhờ đó khôi phục thông tin cá nhân từ các ảnh chụp màn hình và hình ảnh đã được chỉnh sửa, bao gồm cả những ảnh đã được chỉnh sửa, đã cắt xén hoặc che nội dung.

Vấn đề được các kỹ sư Simon Aarons và David Buchanan phát hiện.

Lỗ hổng nghiêm trọng liên quan đến Pixel có số hiệu là CVE-2023-21036, đã được báo cáo cho Google vào ngày 2/1/2023 và đã được khắc phục thông qua bản cập nhật phát hành vào ngày 6/3/2023 cho Pixel 4A, 5A, 7 và các thiết bị 7 Pro.

Lỗ hổng đã tồn tại kể từ khi phát hành tiện ích Markup với Android 9 Pie vào năm 2018 và những hình ảnh đã được chia sẻ trong 5 năm qua dễ bị tấn công Acropalypse làm dấy lên lo ngại về quyền riêng tư.

Kỹ sư David Buchanan cho biết: “Bạn có thể vá nó, nhưng bạn không thể dễ dàng hủy chia sẻ tất cả những hình ảnh dễ bị tổn hại mà bạn có thể đã gửi”. Ông mô tả nó là một “hình ảnh tồi tệ”.

Một vấn đề tương tự với lật hình ảnh gần đây cũng đã được tiết lộ trong Google Docs, cho phép những người dùng truy cập chỉ có thể xem nhằm khôi phục các phiên bản gốc của hình ảnh đã cắt trong các tài liệu được chia sẻ mà không cho phép chỉnh sửa./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Microsoft vá lỗ hổng trong các công cụ Screenshot của Windows
POWERED BY ONECMS - A PRODUCT OF NEKO