A Microsoft vészhelyzeti frissítést adott ki a Windows 10 és 11 operációs rendszerekhez a sokak által használt képernyőmetszet sérülékenysége (CVE-2023-28303) miatt.
A Képmetsző (Windows Snipping tool) a Windows egy beépített képszerkesztő funkciója, amivel lementhetjük a képernyő tetszőleges részét vagy akár a lementett képekből egyszerűen kivághatunk részeket. Van aki ezt inverz módon arra használja, hogy érzékeny információktól (például arcképek, nevek vagy bankszámlaszámok) mentesítsen egy képernyőfotót.
Az Acropalypse névre keresztelt hiba lényege, hogy amennyiben egy képet a képmetszővel módosítunk, majd a kivágott résszel felülírjuk az eredeti fájlt, a teljes, eredeti kép helyreállítható marad az abban szereplő összes információval együtt.
Habár a sérülékenység kockázati besorolása alacsony (CVSS 3.1 alapján 3.3 pontot kapott), a hiba azonban komoly adatvédelmi kockázatot jelent, a fenti módon módosított, majd publikusan megosztott képek és fotók tekintetében. Biztonsági szakértők szerint a hibában érintett képek száma hatalmas méreteket ölthet, eddig csak a VirusTotalon 4000 ilyen képet azonosítottak, képmegosztó oldalakon azonban minden bizonnyal nagyságrendekkel több képfájlt is érinthet.
A Microsoft soron kívüli biztonsági hibajavítással orvosolta a sebezhetőséget, Windows 11 esetében a 11.2302.20.0-ás, Windows 10 esetén pedig a 10.2008.3001.0-ás verzió már nem sérülékeny.
Vonatkozó sérülékenység leírás az NBSZ NKI weboldalán: |
