微软修复Windows截图工具安全漏洞

上周五，微软宣布了一个新的信息泄露漏洞，该漏洞影响了Windows 10和Windows 11的截图编辑工具。

该漏洞(CVE-2023-28303)被称为aCropalypse，可以使恶意行为者恢复屏幕截图的部分内容，可能会泄露敏感信息。

根据微软的说法，这个漏洞影响了Windows 10中的sniip & Sketch和Windows 11中的Snipping Tool(但不影响Windows 10中的Snipping Tool)，并且CVSS评分很低，只有3.3，因为它需要用户交互才能被利用。

该报告写道：“此漏洞的严重程度为低，因为成功利用需要不寻常的用户交互和攻击者无法控制的几个因素。”

为了让攻击者利用这个问题，用户必须在特定条件下创建了一个映像。例如，他们必须截图，保存到一个文件中，编辑它，然后将修改后的文件保存到相同的位置。

或者他们必须在剪辑工具中打开图像，编辑它，然后将修改后的文件保存到相同的位置。

微软解释说:“例如，如果你截取了银行对账单的截图，将其保存到桌面，并在保存到相同位置之前裁剪出你的账号，裁剪后的图像仍然可能以隐藏格式包含你的账号，可以被有权访问完整图像文件的人恢复。但是，如果您从剪辑工具中复制裁剪后的图像，并将其粘贴到电子邮件或文档中，隐藏的数据将不会被复制，您的账号也将是安全的。”

这家科技巨头现在已经发布了这两个截屏工具漏洞的修复程序。用户可以通过更新到10.2008.3001.0版本(Snip和Sketch)和11.2302.20.0版本(Snipping Tool)来实现补丁。

几周前，微软在3月份的周二补丁更新中修复了两个零日漏洞。