Araştırmacıların kısa bir müddet Evvel Pixel telefonlarda bulunan yerleşik kırpma aracının aslında fotoğraflardan kırptığınız kısımları büsbütün silmediğini ve biraz uğraşla imgenin kesildiği varsayılan kısımlarını görmenize müsaade verdiğini keşfettiklerini duymuş olabilirsiniz. Bu araştırmacılardan biri, artık de Microsoft’un Windows 10 ve 11’deki Ekran Alıntısı Aracı‘nın Fazla emsal bir istismara sahip olduğunu ortaya çıkarttı. Bu açık, insanların kurtulduklarını düşündükleri bilgilerin artık internette dolaştığı manasına geliyor olabilir.
David Buchanan‘ın tweet’ine nazaran, araçla bir ekran manzarası alıp kaydet düğmesine basar ve akabinde onu kırpıp tıpkı evraka kaydederseniz, bilgiler hala belgede korunabiliyor. Buchanan, birtakım “küçük değişiklikler” yaptığınız sürece, bu datalara ulaşmak için Pixel ekran imajının Geri kalanını görmenize müsaade veren kodun neredeyse birebirini kullanabileceğinizi söylüyor.
holy FUCK.
Windows Snipping Tool is vulnerable to Acropalypse too.
An entirely unrelated codebase.
The same exploit script works with minor changes (the pixel format is RGBA not RGB)
Tested myself on Windows 11 https://t.co/5q2vb6jWOn pic.twitter.com/ovJKPr0x5Y
— David Buchanan (@David3141593) March 21, 2023
Güvenlik açığının kapsamı biraz hudutlu görünüyor. Buchanan, istismarın “kaydet-kırp-kaydet” gerektirdiğini söylüyor, bu da birinci ekran imgeniz ekranın sırf makul bir kısmını içeriyorsa Sıkıntı olmayacağını ima ediyor.
Buchanan ve araştırmacı Simon Aarons, geçtiğimiz hafta Pixel telefonlar üzerinde “acropalypse” ismini verdikleri Emniyet açığı hakkında birinci alarmı vermişti. Aracı kullanarak oluşturulan imajlar, kırpılmasını istediğiniz şeylerin bozulmadan kalmış olması ihtimaliyle Birlikte hala internette geziniyor olabilir.
Görünüşe nazaran bu duyuru, insanları öteki ekran imgesi alma araçlarına bakmaya teşvik etti. Ekran Alıntısı Aracı’nın kullandığı PNG imaj formatı için çalışma kümesine başkanlık eden Chris Blume, Ekran Alıntısı Aracı’nın var imgelerin üzerine yazarken evrakları gerçek halde kesmediğini tweet’leyerek Buchanan’ın bu sıkıntıya dikkat çekmesine Yardımcı oldu.
I've got a fun one for you all to look at.
I opened a 198 byte PNG with Microsoft's Snipping Tool, chose "Save As" to overwrite a different PNG file (no editing), and saves a 4,762 byte file with all that extra after the PNG IEND chunk.
Sounds similar 😀
— Chris Blume (@ProgramMax) March 21, 2023
Microsoft sözcüsü Rachel Tougher Withers ise “Bu raporların farkındayız ve araştırıyoruz” dedi ve ekledi: “Müşterilerin korunmasına Yardımcı olmak için gereken halde harekete geçeceğiz.”
Yorum Yok