谷歌修復了其螢幕截圖編輯工具中的一個嚴重漏洞。五年來,人們可以撤銷對影像所做的編輯
什麼時候Google已開始推出更新安全幾天前,山景公司更正了三月的一項涉及 Google Pixel Markup 截圖工具的「高」漏洞。本週末,發現該漏洞(編號為 CVE-2023-21036)的工程師 Simon Aarons 和 David Buchanan 分享了更多細節,並透露 Pixel 用戶仍然面臨著舊圖像可能因性質而受到損害的風險。監督。
谷歌修復了其螢幕截圖編輯工具中的嚴重漏洞
總而言之,這個「aCropalypse」缺陷允許惡意者在標記中截取裁剪後的 PNG 螢幕截圖,並撤銷對影像所做的多次編輯。很容易想像駭客可以濫用這種可能性的場景。例如,如果所有者像素使用標記在螢幕截圖中隱藏個人詳細信息,有人可以利用此缺陷來洩露此資訊。整個技術流程詳見大衛·布坎南的博客。
據後者稱,這個缺陷已經存在了大約五年,恰逢 2018 年 Markup 與 Android 9 Pie 一起發布。儘管 3 月的安全修補程式可以防止未來透過 Markup 傳遞的圖像以這種方式受到損害,但 Pixel 用戶過去可能分享的一些螢幕截圖仍然面臨風險。
五年來,人們可以撤銷對影像所做的編輯
很難想像這些用戶會對這個缺陷有多擔心。根據很快就會上線的幫助頁面西蒙·阿倫斯和大衛·布坎南在朝九晚五穀歌等邊緣,包括 Twitter 在內的一些網站處理圖像的方式使得任何人都無法利用該缺陷來撤消對螢幕截圖或照片所做的一個或多個編輯。另一方面,其他平台的用戶就沒那麼幸運了。例如,Simon Aarons 和 David Buchanan 將其命名為 Discord,表明該服務在 1 月 17 日更新之前並未糾正此缺陷。目前尚不清楚圖像是否分享給其他人應用訊息傳遞和社交網路很容易受到攻擊。
目前,3 月的安全性更新適用於 Pixel 4a、5a、7 和 7 Pro,這意味著標記仍可能在某些裝置上產生易受攻擊的影像。Google像素。很難知道山景城公司是否會為其他 Pixel 設備提供修復程序。如果您的 Pixel 沒有更新,請避免使用標記共用包含敏感資料的影像。
acropalypse 簡介:一個嚴重的隱私權漏洞Google像素內建的螢幕截圖編輯工具“標記”,可以部分恢復裁剪和/或編輯的螢幕截圖的原始、未經編輯的影像資料。非常感謝@大衛3141593感謝他全程的幫助!pic.twitter.com/BXNQomnHbr
— 西蒙‧阿倫斯 (@ItsSimonTime)2023 年 3 月 17 日
