Google Pixel 中發現了一個漏洞,允許您撤消使用屏幕截圖工具所做的更改。
谷歌修復了其屏幕截圖編輯工具中的一個嚴重漏洞。五年之內,就可以撤消對圖像所做的更改。
當谷歌幾天前開始推出三月份安全更新時,這家山景城公司修補了與穀歌像素標記屏幕截圖工具相關的“高”漏洞。本週末,發現該漏洞(編號為 CVE-2023-21036)的工程師 Simon Aarons 和 David Buchanan 分享了更多詳細信息,並透露,由於該漏洞的性質,Pixel 用戶仍然面臨著舊圖像遭到洩露的風險。這是谷歌方面的疏忽。
谷歌修復了其屏幕截圖編輯工具中的嚴重漏洞
總之,這個“aCropalypse”漏洞允許攻擊者在標記中截取 PNG 的裁剪屏幕截圖,並撤消對圖像所做的多項更改。很容易想像黑客可能濫用此功能的場景。例如,如果 Pixel 所有者使用標記在屏幕截圖中隱藏個人信息,則有人可以利用該漏洞來洩露該信息。David Buchanan 的博客詳細介紹了整個技術流程。
據後者稱,這個缺陷已經存在了大約五年,恰逢 2018 年 Markup 與 Android 9 Pie 一起發布。問題就在於此。雖然 3 月份的安全補丁可以防止標記圖像在未來受到損害,但 Pixel 用戶過去可能共享的一些屏幕截圖仍然面臨風險。
五年之內,就可以撤消對圖像所做的更改。
很難想像這些用戶應該如何擔心這個缺點。根據Simon Aarons 和 David Buchanan 與 9to5Google 和 The Verge 共享的手冊頁,根據 Simon Aarons 和 David Buchanan 與 9to5Google 和 The Verge 共享的幫助頁面,包括 Twitter 在內的一些網站處理圖像的方式使得任何人都無法利用該漏洞撤消或對屏幕截圖或照片進行多次編輯。但其他平台的用戶就沒那麼幸運了。Simon Aarons 和 David Buchanan 如此稱呼 Discord,並指出該服務直到 1 月 17 日更新才修復這個缺陷。目前尚不清楚其他消息傳遞和社交媒體應用程序上託管的圖像是否容易受到攻擊。
三月份的安全更新目前適用於 Pixel 4a、5a、7 和 7 Pro,這意味著標記仍然可以在某些 Google Pixel 上生成易受攻擊的圖像。很難說 Mountain View 是否會為其他 Pixel 設備提供修復程序。如果您的 Pixel 沒有更新,請避免使用標記共享包含敏感數據的圖像。
Acrocalypse 簡介:Google Pixel 的內置屏幕截圖編輯工具 Markup 中存在嚴重的隱私漏洞,允許部分恢復裁剪和/或編輯的屏幕截圖的原始、未經編輯的圖像數據。非常感謝@David3141593的幫助!pic.twitter.com/BXNQomnHbr
— 西蒙·阿倫斯 (@ItsSimonTime) 2023 年 3 月 17 日
發佈留言