Você sabe como os pesquisadores descobriram recentemente que a ferramenta de corte integrada do Pixel não se livrou dos dados que você removeu e que uma pequena escavação permite que você veja as partes da imagem que supostamente foram cortadas? Um desses pesquisadores agora está relatando que a ferramenta Snipping Tool para Windows 11 da Microsoft, bem como a ferramenta Snip & Sketch no Windows 10, têm uma exploração muito semelhante, o que pode significar que as informações das quais as pessoas pensavam ter se livrado agora estão flutuando no Internet.
De acordo com um tweet de David Buchanan, se você tirar uma captura de tela com a ferramenta, pressionar o botão salvar e recortá-la e salvá-la no mesmo arquivo, os dados ainda poderão estar disponíveis no arquivo. Buchanan diz que você pode até usar praticamente o mesmo código que permite ver o restante de uma captura de tela do Pixel para obter esses dados, desde que faça algumas “pequenas alterações”.
A vulnerabilidade parece ter um escopo um tanto limitado — Buchanan diz que a exploração “requer salvar-cortar-salvar”, o que implica que você ficará bem se sua captura de tela inicial incluir apenas uma seção específica da tela. E embora a ferramenta Snip & Sketch do Windows 10 supostamente tenha o mesmo problema, Buchanan diz que a ferramenta Snipping original para Windows 10 não.
Na semana passada, Buchanan e o pesquisador Simon Aarons soou o alarme sobre a vulnerabilidade “acropalypse” para Pixels, apontando que mesmo uma correção para esse tipo de problema não o faz desaparecer. As imagens que você fez usando a ferramenta ainda podem estar lá fora, com as coisas que você deseja recortar potencialmente intactas.
Parece que o anúncio estimulou as pessoas a procurar outras ferramentas de captura de tela. Chris Blume, que preside o grupo de trabalho para o formato de imagem PNG usado pela Ferramenta de Recorte, ajudou a alertar Buchanan sobre o problema ao twittando essa ferramenta de recorte parece não truncar os arquivos corretamente ao sobrescrever as imagens existentes.
A Microsoft não respondeu imediatamente a The Vergepedido de comentários sobre o assunto.
0 comentários:
Postar um comentário