Une vulnérabilité a été découverte dans Google Pixel qui vous permet d’annuler les modifications apportées à l’aide de l’outil de capture d’écran.
Google corrige une vulnérabilité critique dans son outil d’édition de capture d’écran. En cinq ans, il était possible d’annuler les modifications apportées aux images.
Lorsque Google a commencé à déployer sa mise à jour de sécurité de mars il y a quelques jours, la firme de Mountain View a corrigé une vulnérabilité « élevée » liée à l’outil de capture d’écran Pixel Markup de Google . Ce week-end, Simon Aarons et David Buchanan, les ingénieurs qui ont découvert la vulnérabilité en question, identifiée comme CVE-2023-21036, ont partagé plus de détails et révélé que les utilisateurs de Pixel risquent toujours de voir leurs anciennes images compromises en raison de la nature de la vulnérabilité. c’est un oubli de la part de Google.
Google corrige une vulnérabilité critique dans son outil d’édition de captures d’écran
En résumé, cette vulnérabilité « aCropalypse » permettait à un attaquant de prendre une capture d’écran recadrée d’un PNG dans le balisage et d’annuler plusieurs modifications apportées à l’image. Il est facile d’imaginer des scénarios où un pirate pourrait abuser de cette fonctionnalité. Par exemple, si un propriétaire de Pixel utilisait un balisage pour masquer des informations personnelles dans une capture d’écran, quelqu’un pourrait utiliser cette vulnérabilité pour révéler ces informations. Toute la procédure technique est détaillée sur le blog de David Buchanan .
Selon ce dernier, cette faille existe depuis environ cinq ans, coïncidant avec la sortie de Markup avec Android 9 Pie en 2018. Et c’est là que réside le problème. Alors que le correctif de sécurité de mars empêche les images de balisage d’être compromises à l’avenir, certaines captures d’écran que les utilisateurs de Pixel ont pu partager dans le passé sont toujours à risque.
En cinq ans, il était possible d’annuler les modifications apportées aux images.
Il est difficile d’imaginer comment ces utilisateurs devraient s’inquiéter de cette lacune. Selon la page de manuel , que Simon Aarons et David Buchanan ont partagée avec 9to5Google et The Verge, selon la page d’aide que Simon Aarons et David Buchanan ont partagée avec 9to5Google et The Verge, certains sites, dont Twitter, traitent les images de manière à ce que personne ne puisse exploiter la vulnérabilité pour venir annuler ou plusieurs modifications apportées à une capture d’écran ou une photo. Mais les utilisateurs d’autres plateformes ont eu moins de chance. Simon Aarons et David Buchanan font référence à Discord en tant que tel, précisant que le service n’a pas corrigé cette lacune avant sa mise à jour du 17 janvier. On ignore actuellement si les images hébergées sur d’autres applications de messagerie et de médias sociaux sont vulnérables.
La mise à jour de sécurité de mars est actuellement disponible pour les Pixel 4a, 5a, 7 et 7 Pro, ce qui signifie que le balisage peut toujours générer des images vulnérables sur certains Google Pixels. Il est difficile de dire si Mountain View proposera un correctif pour les autres appareils Pixel. Si vous avez un Pixel qui n’a pas la mise à jour, évitez d’utiliser le balisage pour partager des images contenant des données sensibles.
Présentation d’Acrocalypse : une grave vulnérabilité de confidentialité dans l’outil d’édition de capture d’écran intégré de Google Pixel, Markup, permet la restauration partielle des données d’image originales non modifiées d’une capture d’écran recadrée et/ou modifiée. Un grand merci à @David3141593 pour son aide ! pic.twitter.com/BXNQomnHbr
– Simon Aarons (@ItsSimonTime) 17 mars 2023
Laisser un commentaire