Microsoft merilis pembaruan keamanan darurat untuk alat Snipping Windows 10 dan Windows 11 untuk memperbaiki kerentanan privasi Acropalypse.
Sekarang dilacak sebagai CVE-2023-28303, itu Kerentanan acropalypse disebabkan oleh editor gambar yang tidak menghapus data gambar yang dipangkas dengan benar saat menimpa file asli.
Misalnya, jika Anda mengambil tangkapan layar dan memotong informasi sensitif, seperti nomor akun, Anda harus memiliki harapan yang masuk akal bahwa data yang dipotong ini akan dihapus saat menyimpan gambar.
Namun, dengan bug ini, keduanya Alat Markup Google Pixel dan Alat Pemotong Windows ditemukan meninggalkan data yang dipotong di dalam file asli.
Misalnya, pada gambar di bawah, Anda dapat melihat bagaimana data ekstra disimpan setelah penanda file IEND, yang menandakan akhir dari file PNG. Biasanya, seharusnya tidak ada data setelah penanda IEND.
Sumber: BleepingComputer
Data ekstra ini dapat digunakan untuk memulihkan sebagian konten gambar yang dipangkas, berpotensi mengungkap konten sensitif yang tidak pernah dimaksudkan untuk publik.
Peneliti keamanan telah memberi tahu BleepingComputer bahwa jumlah gambar publik yang terpengaruh oleh kelemahan ini mungkin tinggi, dengan VirusTotal saja menampung lebih dari 4.000 gambar yang terpengaruh oleh bug Acropalypse.
Oleh karena itu, pada layanan yang melayani hosting gambar, jumlah gambar yang terkena dampak Acropalypse kemungkinan jauh lebih tinggi.
Microsoft merilis pembaruan keamanan OOB
Seperti yang dilaporkan BleepingComputer, Microsoft menguji perbaikan untuk bug Windows 11 Snipping Tool di saluran Windows Insider Canary.
Tadi malam, Microsoft secara terbuka merilis pembaruan keamanan untuk program Windows 10 Snip & Sketch dan Windows 11 Snipping Tool untuk mengatasi cacat Acropalypse.
“Kami telah merilis pembaruan keamanan untuk alat ini melalui CVE-2023-28303. Kami menyarankan pelanggan menerapkan pembaruan tersebut,” kata Microsoft kepada BleepingComputer.
Setelah menginstal pembaruan keamanan ini, Windows 11 Snipping Tool akan menjadi versi 10.2008.3001.0, dan Windows 10 Snip & Sketch akan menjadi versi 11.2302.20.0.
Microsoft sekarang melacak kerentanan sebagai CVE-2023-28303 dan diberi judul “Kerentanan Pengungkapan Informasi Windows Snipping Tool.”
Kerentanan diklasifikasikan sebagai tingkat keparahan “Rendah” karena “memerlukan interaksi pengguna yang tidak biasa dan beberapa faktor di luar kendali penyerang.”
- Pengguna harus mengambil tangkapan layar, menyimpannya ke file, memodifikasi file (misalnya, memangkasnya), lalu menyimpan file yang dimodifikasi ke lokasi yang sama.
- Pengguna harus membuka gambar di Snipping Tool, memodifikasi file (misalnya, memotongnya), lalu menyimpan file yang dimodifikasi ke lokasi yang sama.
Karena itu, dalam pengalaman kami, tidak jarang mengambil tangkapan layar, menyimpannya, dan kemudian menyadari bahwa Anda perlu memangkas sesuatu lalu menimpa gambar aslinya. Gambar ini sekarang akan terpengaruh oleh bug.
Kabar baiknya adalah terlepas dari bagaimana gambar dibuat jika Anda tidak membagikan gambar yang terpengaruh secara publik, Anda akan memiliki sedikit risiko cacat dieksploitasi kecuali perangkat Anda disusupi.
Untuk menginstal pembaruan keamanan, buka Microsoft Store dan buka Perpustakaan > Dapatkan Pembaruan, dan versi terbaru dari Windows Snipping Tool akan terinstal secara otomatis.
