Операционные системы Windows и Microsoft признали уязвимостью в обработке фото
Инструменты для обрезания изображений от Google, а также Microsoft содержат ошибку aCropalypse, которая может раскрыть информацию, намеренно удаленную пользователями.
В начале марта Google выпустила обновление для своих смартфонов Pixel, устраняющее уязвимость в инструменте Markup.
С момента появления в 2018 году в Android 9 инструмент обрезки фотографий Markup незаметно оставлял в файле обрезанного изображения данные, которые можно было использовать для восстановления части или всех исходных изображений за пределами обрезки.
Хотя теперь эта уязвимость устранена, она имеет большое значение, поскольку люди в Pixel годами создавали обрезанными изображениями, которые все еще могли содержать конфиденциальные или частные данные, которые пользователь пытался удалить.
Однако ситуация становится еще хуже.
Ошибка aCROPALYPSE была обнаружена исследователем безопасности Саймоном Ааронсом, студентом колледжа, который сотрудничал в этой работе с Дэвидом Бьюкененом.
На этой неделе пара обнаружила, что очень похожа версия уязвимости присутствует в других утилитах обрезки фотографий из абсолютно отдельной кодовой базы: Windows.
Инструменты Windows 11 Snipping Tool, а также Windows 10 Snip&Sketch уязвимы при том, когда пользователь делает снимок экрана, сохраняет его, обрезает снимок, а затем снова сохраняет файл.
Фото, обрезанные с помощью Markup, сохраняли слишком много данных.
Microsoft сообщила WIRED, что знает об этих сообщениях, проводит расследование, добавив, что мы примем необходимые меры.
Это было просто умопомрачительно, как будто молния ударила дважды, - говорит Бьюкенен.
Первая уязвимость Android уже была удивительной, что она не обнаружена ранее. Это было достаточно сюрреалистично.
Теперь, когда уязвимости открыты, исследователями начались обсуждения на форумах программирования, где авторы замечали странное поведение инструмента обрезки.
Но Саймон Ааронс, похоже, был первым, кто осознал потенциальные последствия для конфиденциальности или безопасности - или, по крайней мере, первым, кто сообщил об этом Google или Mi.
Источник:https://www.wired.com/