Microsoft có đẩy một bản cập nhật để khắc phục lỗ hổng chỉnh sửa ảnh chụp màn hình trong Windows 10 và 11, như được phát hiện trước đó bởi Máy tính đang ngủ. Lỗ hổng bảo mật, được đặt tên là “aCropalypse”, có thể cho phép những kẻ xấu khôi phục các phần đã chỉnh sửa của ảnh chụp màn hình, có khả năng tiết lộ thông tin cá nhân đã bị cắt hoặc che giấu.
Theo Microsoft, sự cố (CVE-2023-28303) ảnh hưởng đến cả ứng dụng Snip & Sketch trên Windows 10 và Snipping Tool trên Windows 11. Tuy nhiên, sự cố này chỉ áp dụng cho các hình ảnh được tạo theo một nhóm các bước rất cụ thể. Điều đó bao gồm những thứ đã được chụp, lưu, chỉnh sửa và sau đó được lưu trên tệp gốc, cũng như những cái được mở trong Snipping Tool, được chỉnh sửa và sau đó được lưu vào cùng một vị trí. Nó không có bất kỳ tác dụng nào đối với ảnh chụp màn hình đã sửa đổi trước lưu chúng và cũng không ảnh hưởng đến ảnh chụp màn hình đã được sao chép và dán vào phần nội dung của email hoặc tài liệu.
Microsoft lần đầu tiên biết về vấn đề này vào đầu tuần này. Đó là khi Chris Blume, chủ tịch nhóm làm việc về định dạng hình ảnh PNG, đã thu hút sự chú ý của David Buchanan và Simon Aarons – chính các nhà nghiên cứu bảo mật đã phát hiện ra lỗ hổng aCropalypse ảnh hưởng đến công cụ Đánh dấu của Google Pixel. Tương tự, điều này cho phép tin tặc đảo ngược các thay đổi được thực hiện đối với ảnh chụp màn hình, giúp tiết lộ thông tin cá nhân trong một hình ảnh mà ai đó nghĩ rằng họ đang che giấu, cho dù bằng cách cắt xén hoặc viết nguệch ngoạc lên đó.
Bạn có thể tải xuống các bản cập nhật mới nhất cho các ứng dụng bị ảnh hưởng trên Windows bằng cách truy cập Microsoft Store, nhấp vào Thư việnrồi chọn Cập nhật. Nếu bạn đã bật cập nhật tự động, bạn sẽ nhận thấy rằng Snipping Tool phải được đặt thành phiên bản 10.2008.3001.0, trong khi công cụ Snip & Sketch sẽ là phiên bản 11.2302.20.0. Tuy nhiên, giống như bản vá mà Google đã phát hành, thay đổi của Microsoft sẽ không cập nhật các ảnh chụp màn hình đã chỉnh sửa đã được đăng trực tuyến, điều này có khả năng để lại hàng nghìn ảnh chụp màn hình trên web mà những kẻ xấu có thể khai thác.
Nguồn: www.theverge.com