吳明宜微軟周末釋出軟體更新,修補可還原裁切過的圖片的漏洞。這個漏洞名為aCropalyps(CVE-2023-28303),影響Windows 10的「剪取與繪圖」,以及Windows 11的剪取工具App。
微軟周末釋出軟體更新,修補可還原裁切過的圖片的漏洞。
這個漏洞名為 aCropalyps(CVE-2023-28303),影響 Windows 10 的「剪取與繪圖」、以及 Windows 11 的剪取工具 App 。它可能讓駭客將用戶裁切過的圖片還原,若是使用者為了安全問題剪取身份資訊或特定人事物,就可能造成隱私資訊外洩。
這項漏洞原本是 David Buchanan 和 Simon Aarons 在 Pixel 手機的標記工具(Markup Tool)發現。 方法是用戶以 Pixel 手機「標記工具」開啟裁剪過的圖檔,再另存成原圖的檔名(如果知道的話)以覆蓋原圖。雖然新圖看似裁剪過,但包含的資訊卻等同原圖,顯示只要有工具即可還原。兩人也提供了概念驗證工具,將 Pixel 手機裁剪的圖還原。
研究人員 Chris Blume 發現,這項漏洞也影響 Windows 10 的「剪取與繪圖」及 Windows 11 的「剪取工具」。不過研究人員僅測試出 PNG 圖檔也能用這工具還原部份,但 JPEG 檔還無法支援。
以風險值而言,CVE-2023-28303 只有 3.0 。微軟表示,用戶必須以「剪取與繪圖」工具開啟圖片,剪取再存回同一資料夾,該圖才會受影響。一般情形下,若不存成同一檔名,是不會受影響的。
微軟上周得知這項消息,周末釋出新版剪取工具於 Windows Store 供用戶下載,包括「剪取與繪圖」工具 10.2008.3001.0 版及「剪取工具」11.2302.20.0 版。