Menyusul penemuan kerentanan serius di aplikasi Snipping Tool untuk Windows 11 dan Snip & Sketch di Windows 10, Microsoft telah merilis pembaruan out-of-band untuk mengatasi lubang keamanan.
Kekurangannya mirip dengan bug aCropalypse yang baru ditemukan yang memengaruhi ponsel Pixel, sehingga memungkinkan untuk “membuka” gambar yang dipotong dan berpotensi membuka informasi sensitif. Setelah menguji pembaruan secara singkat dengan Windows Insiders, Microsoft kini telah menyediakan perbaikan untuk semua pengguna Windows 10 dan Windows 11.
Lihat juga:
Kerentanan, dilacak sebagai CVE-2023-28303, telah diklasifikasikan sebagai tingkat keparahan rendah karena Microsoft mengatakan bahwa skenario di mana kerentanan dapat mengekspos data jarang terjadi. Karena semua yang perlu dilakukan adalah menyimpan tangkapan layar di Snipping Tool atau Snips & Sketch, memotong gambar tersebut dan menyimpannya dengan nama yang sama, kemungkinannya tampaknya lebih besar daripada yang diyakini pengguna oleh Microsoft.
Perusahaan menjelaskan:
Menurut metrik CVSS, diperlukan interaksi pengguna (UI:R). Interaksi apa yang harus dilakukan pengguna untuk kerentanan tingkat keparahan rendah ini?
Tingkat keparahan kerentanan ini Rendah karena eksploitasi yang berhasil memerlukan interaksi pengguna yang tidak biasa dan beberapa faktor di luar kendali penyerang. Agar gambar tunduk pada masalah ini, pengguna harus membuatnya dalam kondisi tertentu:
1. Pengguna harus mengambil tangkapan layar, menyimpannya ke file, memodifikasi file (misalnya, memotongnya), lalu menyimpan file yang dimodifikasi ke lokasi yang sama.
2. Pengguna harus membuka gambar di Snipping Tool, memodifikasi file (misalnya, memotongnya), lalu menyimpan file yang dimodifikasi ke lokasi yang sama.
Kasus penggunaan umum seperti menyalin gambar dari Snipping Tool atau memodifikasinya sebelum menyimpannya tidak terpengaruh.
Misalnya, jika Anda mengambil screenshot laporan mutasi bank, menyimpannya ke desktop, dan memangkas nomor rekening Anda sebelum menyimpannya ke lokasi yang sama, gambar yang dipotong mungkin masih berisi nomor rekening Anda dalam format tersembunyi yang dapat dipulihkan. oleh seseorang yang memiliki akses ke file gambar lengkap. Namun, jika Anda menyalin gambar yang dipotong dari Snipping Tool dan menempelkannya ke email atau dokumen, data tersembunyi tidak akan disalin, dan nomor akun Anda akan aman.
Pembaruan sekarang tersedia untuk aplikasi yang terpengaruh melalui Microsoft Store; cukup pastikan bahwa Snip & Sketch Windows 10 adalah versi 10.2008.3001.0 atau lebih baru, dan dalam kasus Windows 11, Snipping Tool versi 11.2302.20.0 atau lebih baru diinstal.
Kredit gambar: VadimVasenin / depositphotos
