Firma Microsoft testuje zaktualizowaną wersję narzędzia wycinania dla systemu Windows 11, która naprawia niedawno ujawnioną lukę prywatności „Acropalypse”, która umożliwia częściowe przywracanie przyciętych obrazów.

Jako pierwszy zauważył entuzjasta Windows XenoMicrosoft udostępnił wczoraj Windows 11 Snipping Tool w wersji 11.2302.20.0 dla niejawnych testerów systemu Windows w kanale Canary za pośrednictwem Microsoft Store.

W tej wersji BleepingComputer może potwierdzić, że Microsoft naprawił błąd, który nie usuwa danych przyciętego obrazu podczas zapisywania zmian w oryginalnym pliku w systemie Windows 11. Jednak błąd pozostaje w systemie Windows 10.

Luka prywatności Acropalypse

W zeszłym tygodniu ujawniono nową lukę w zabezpieczeniach o nazwie „Acropalypse” dla urządzeń Google Pixel, która może częściowo przywrócić usuniętą zawartość z przyciętych obrazów.

Ta wada jest uważana za zagrożenie dla prywatności, ponieważ często usuwa się poufne informacje ze zdjęcia przez jego przycięcie. Może to być wiele różnych informacji, w tym poufne informacje z dokumentu, informacje identyfikujące lokalizację, twarze na nagim zdjęciu lub wrażliwe adresy URL na zrzucie ekranu przeglądarki.

Luka została ujawniona przez badaczy bezpieczeństwa Davida Buchanana I Szymon Aaronsktóry zgłosił błąd w narzędziu Google Pixel Markup Tool do Google, który następnie naprawił go w ramach aktualizacji zabezpieczeń Google Pixel March.

Wkrótce potem odkryto, że błąd wpłynął również na narzędzie Windows Snipping Tool, umożliwiając częściowe odzyskanie przyciętych zrzutów ekranu.

Błąd jest spowodowany przez z różnych powodów w Windows Snipping Tool i Narzędzie do oznaczania Google Pixel. Mimo to efekt końcowy jest taki, że kiedy przycinasz zdjęcie za pomocą edytorów obrazów i nadpisujesz oryginalny plik zmianami, wykadrowane dane nie zostaną usunięte z pliku.

Zamiast tego przycięty obraz będzie miał taki sam rozmiar jak oryginał i będzie zawierał teraz dwa fragmenty danych IEND, z których pierwszy będzie właściwym zakończeniem nowego przyciętego obrazu, a drugi końcem przyciętych danych, które powinny zostać obcięte, gdy obraz Został ocalony.

Poniżej znajduje się przykład pliku PNG dotkniętego błędem Acropalypse, umożliwiającego odzyskanie przyciętych danych. Zwróć uwagę, że obraz ma dwa fragmenty danych IEND w pliku, gdy format pliku określa, że ​​w pliku PNG powinien znajdować się tylko jeden znacznik IEND oznaczający koniec obrazu.

W nowym narzędziu do wycinania systemu Windows 11 w wersji 11.2302.20.0 podczas przycinania danych i nadpisywania oryginalnego pliku oprogramowanie poprawnie obcina nieużywane dane, pozostawiając tylko jeden fragment danych IEND w obrazie.

To skutecznie rozwiązuje problem w narzędziu do wycinania systemu Windows 11 i powinno trafić do wersji produkcyjnej w ciągu najbliższych kilku tygodni.

Jednak problem dotyczy również narzędzia do wycinania w systemie Windows 10 (Snip and Sketch) i nie jest dostępna żadna aktualizacja, nawet dla Insiderów, która rozwiązuje ten błąd.

BleepingComputer skontaktował się z firmą Microsoft w sprawie tego, czy aplikacja Windows 10 również zostanie naprawiona i zaktualizuje ten post, jeśli otrzymamy odpowiedź.