Googleはスクリーンショット編集ツールの重大な脆弱性を修正した。 5 年間、画像に加えられた編集を元に戻すことが可能でした
いつグーグルアップデートの展開を開始しました安全数日前、マウンテンビュー社は3月の修正を行った。Google Pixel Markup スクリーンショット ツールに関連する「高」の脆弱性。今週末、CVE-2023-21036 として特定された問題の欠陥を発見したエンジニアである Simon Aarons 氏と David Buchanan 氏は詳細を共有し、Pixel ユーザーはその性質上、古い画像が侵害される可能性があるというリスクを依然として抱えていることを明らかにしました。 Googleによるこの見落としについて。
要約すると、この「aCropalypse」の欠陥により、悪意のある人がマークアップで切り取られた PNG スクリーンショットを取得し、画像に加えられたいくつかの編集を元に戻すことができました。ハッカーがこの可能性を悪用するシナリオは容易に想像できます。たとえば、次の所有者の場合、ピクセルマークアップを使用してスクリーンショット内の個人情報を隠すと、誰かがこの欠陥を悪用してこの情報を明らかにする可能性があります。技術的な手順全体については、次のサイトで詳しく説明されています。デビッド・ブキャナンのブログ。
後者によると、この欠陥は 2018 年に Android 9 Pie とともに Markup がリリースされたときから約 5 年間存在していました。そしてまさにそこに問題があります。 3 月のセキュリティ パッチは、マークアップを介して渡される将来の画像がこの方法で侵害されることを防ぎますが、Pixel ユーザーが過去に共有した可能性のある一部のスクリーンショットは依然として危険にさらされています。
5 年間、画像に加えられた編集を元に戻すことが可能でした
これらのユーザーがこの欠陥についてどれほど心配するか想像するのは困難です。によるとヘルプページは間もなくオンラインに公開されますサイモン・アーロンズとデビッド・ブキャナンが以下で共有したこと9to5Googleなどザ・ヴァージTwitter などの一部のサイトでは、誰もこの欠陥を悪用してスクリーンショットや写真に加えられた 1 つ以上の編集を元に戻せないような方法で画像を処理しています。一方、他のプラットフォームのユーザーはそれほど幸運ではありません。サイモン・アーロンズ氏とデビッド・ブキャナン氏は、例えばDiscordの名前を挙げ、同サービスが1月17日のアップデート前にこの欠陥を修正していないと明記した。現時点では、画像が他のユーザーに共有されているかどうかは不明ですアプリケーションメッセージングとソーシャル ネットワークは脆弱です。
3 月のセキュリティ アップデートは現在、Pixel 4a、5a、7、7 Pro で利用可能です。つまり、一部の機種ではマークアップにより依然として脆弱な画像が生成される可能性があります。Googleピクセル。 Mountain View 社が他の Pixel デバイス向けの修正プログラムを提供するかどうかを知るのは困難です。アップデートが適用されていない Pixel をお持ちの場合は、機密データを含む画像を共有するためにマークアップを使用しないでください。
アクロパリプスの紹介: 深刻なプライバシーの脆弱性Googleピクセルに組み込まれたスクリーンショット編集ツールであるマークアップにより、切り取られたり編集されたスクリーンショットの元の未編集の画像データを部分的に復元できます。とても感謝しています@David3141593彼の助けに感謝します!pic.twitter.com/BXNQomnHbr
— サイモン・アーロンズ (@ItsSimonTime)2023 年 3 月 17 日
