[ad_1]
当谷歌开始推出 Android 时,该公司解决了一个涉及 Pixel 的标记屏幕截图工具的“高”严重性漏洞。 整个周末, 和 ,发现 CVE-2023-21036 的逆向工程师分享了有关该安全漏洞的更多信息,揭示了由于 Google 的监督性质,Pixel 用户的旧图像仍面临泄露的风险。
简而言之,“aCropalypse”漏洞允许有人截取在标记中裁剪的 PNG 屏幕截图,并至少撤消图像中的一些编辑。 很容易想象坏人会滥用该能力的场景。 例如,如果 Pixel 所有者使用 Markup 编辑包含有关他们自己的敏感信息的图像,则有人可以利用该缺陷来泄露该信息。 您可以在 上找到技术细节。
介绍 acropalypse:Google Pixel 的内置屏幕截图编辑工具 Markup 中的一个严重隐私漏洞,可以部分恢复裁剪和/或编辑屏幕截图的原始、未经编辑的图像数据。 非常感谢 @大卫3141593 感谢他的帮助! pic.twitter.com/BXNQomnHbr
— 西蒙·亚伦斯 (@ItsSimonTime) 2023 年 3 月 17 日
根据 Buchanan 的说法,该缺陷已经存在了大约五年,恰逢 Markup 与 . 这就是问题所在。 虽然 3 月的安全补丁将防止 Markup 损害未来的图像,但 Pixel 用户过去可能共享的一些屏幕截图仍然存在风险。
很难说 Pixel 用户应该对这个缺陷有多担心。 根据即将到来的 Aarons 和 Buchanan 与 和 ,包括 Twitter 在内的一些网站处理图像的方式使得某人无法利用该漏洞反向编辑屏幕截图或图像。 其他平台上的用户就没那么幸运了。 Aarons 和 Buchanan 特别指出了 Discord,并指出聊天应用程序直到最近的 1 月 17 日更新后才修复该漏洞。 目前,尚不清楚在其他社交媒体和聊天应用程序上分享的图片是否同样容易受到攻击。
谷歌没有立即回应 Engadget 的评论和更多信息请求。 3 月的安全更新目前在 Pixel 4a、5a、7 和 7 Pro 上可用,这意味着标记仍然可以在某些 Pixel 设备上生成易受攻击的图像。 目前尚不清楚谷歌何时会将该补丁推送至其他 Pixel 设备。 如果您拥有未安装补丁的 Pixel 手机,请避免使用标记来共享敏感图像。
[ad_2]
Source link
/cdn.vox-cdn.com/uploads/chorus_asset/file/23951430/acastro_STK050_04.jpg)