„Google Pixel“ aptiktas pažeidžiamumas, leidžiantis anuliuoti pakeitimus, atliktus naudojant ekrano kopijos įrankį.

„Google“ ištaiso kritinį pažeidžiamumą savo ekrano kopijų redagavimo įrankyje. Per penkerius metus buvo galima anuliuoti vaizdų pakeitimus.

Kai „Google“ prieš kelias dienas pradėjo skelbti kovo mėnesio saugos naujinimą, „Mountain View“ įmonė pataisė „didelį“ pažeidžiamumą, susijusį su „Google“ pikselių žymėjimo ekrano kopijos įrankiu . Šį savaitgalį Simonas Aaronsas ir Davidas Buchananas, inžinieriai, aptikę aptariamą pažeidžiamumą, identifikuotą kaip CVE-2023-21036, pasidalijo daugiau informacijos ir atskleidė, kad „Pixel“ naudotojams vis dar kyla pavojus, kad jų seni vaizdai bus pažeisti dėl pažeidžiamumo pobūdžio. tai „Google“ apsirikimas.

„Google“ ištaiso kritinį pažeidžiamumą savo ekrano kopijų redagavimo įrankyje

Apibendrinant galima pasakyti, kad šis „aCropalipse“ pažeidžiamumas leido užpuolikui padaryti apkarpytą PNG ekrano kopiją žymėjime ir anuliuoti kelis vaizdo pakeitimus. Nesunku įsivaizduoti scenarijus, kai įsilaužėlis galėtų piktnaudžiauti šia funkcija. Pavyzdžiui, jei pikselių savininkas naudojo žymėjimą asmeninei informacijai ekrano kopijoje paslėpti, kas nors gali panaudoti tą pažeidžiamumą, kad atskleistų tą informaciją. Visa techninė procedūra išsamiai aprašyta Davido Buchanano tinklaraštyje .

Pastarojo teigimu, šis trūkumas egzistuoja maždaug penkerius metus, o tai sutapo su Markup išleidimu kartu su Android 9 Pie 2018 m. Ir čia slypi problema. Nors kovo mėnesio saugos pataisa neleidžia ateityje pažeisti žymėjimo vaizdų, kai kurioms ekrano kopijoms, kurias „Pixel“ naudotojai galėjo bendrinti praeityje, vis dar kyla pavojus.

Per penkerius metus buvo galima anuliuoti vaizdų pakeitimus.

Sunku įsivaizduoti, kaip šie vartotojai turėtų nerimauti dėl šio trūkumo. Remiantis žinyno puslapyje , kurį Simonas Aaronsas ir Davidas Buchananas bendrino su 9to5Google ir The Verge, pagal pagalbos puslapį, kurį Simonas Aaronsas ir Davidas Buchananas bendrino su 9to5Google ir The Verge, kai kurios svetainės, įskaitant Twitter, apdoroja vaizdus taip, kad niekas negalėtų pasinaudoti pažeidžiamumu, kad atšauktų arba atšauktų kelis ekrano pakeitimus ar nuotraukas. Tačiau kitų platformų vartotojams pasisekė mažiau. Simonas Aaronsas ir Davidas Buchananas nurodo „Discord“ kaip tokį, nurodydami, kad paslauga nepašalino šio trūkumo iki sausio 17 d. Šiuo metu nežinoma, ar kitose pranešimų siuntimo ir socialinės žiniasklaidos programose esantys vaizdai yra pažeidžiami.

Kovo mėn. saugos naujinimas šiuo metu pasiekiamas „Pixel 4a“, 5a, 7 ir 7 Pro, o tai reiškia, kad žymėjimas vis tiek gali generuoti pažeidžiamus vaizdus kai kuriuose „Google Pixels“. Sunku pasakyti, ar „Mountain View“ pasiūlys pataisymą kitiems „Pixel“ įrenginiams. Jei turite Pixel, kuriame nėra naujinimo, nenaudokite žymėjimo, kad bendrintumėte vaizdus, ​​​​kuriuose yra neskelbtinų duomenų.

Pristatome „Acrocalypse“: rimtas privatumo pažeidimas „Google Pixel“ integruotame ekrano kopijų redagavimo įrankyje Markup leidžia iš dalies atkurti originalius, neredaguotus apkarpytos ir (arba) redaguotos ekrano kopijos vaizdo duomenis. Didelis ačiū @David3141593 už pagalbą! pic.twitter.com/BXNQomnHbr

— Simonas Aaronsas (@ItsSimonTime) 2023 m. kovo 17 d