Pozor na Výstřižky ve Windows: mají závažnou bezpečnostní chybu

23. 3. 2023

Sdílet

 Autor: Internet Info DG – Radan Dolejš
Bezpečnostní experti upozorňují na problém nástroje Výstřižky. Microsoft už na jeho odstranění pracuje. Mohou sdílet i to, co jste vystřihli.

Integrovaný nástroj pro pořizování snímků obrazovky v systému Windows prošel v posledních několika letech významnou modernizací. Nejdřív byly Výstřižky součástí kolekce PowerToys, poté však byly výrazně vylepšeny a staly se ve Windows 10 a 11 výchozím nástrojem pro pořizování screenshotů. Zdá se však, že jejich současná verze by mohla sdílet mnohem více, než bylo zamýšleno, i když ve velmi specifických scénářích.

Využíváte už ve firmě autonomní agenty postavené na bázi umělé inteligence?

Bezpečnostní experti zjistili, že snímky obrazovky pořízené a oříznuté na telefonech Google Pixel lze analyzovat pomocí specializovaných nástrojů pro obnovení, čímž se alespoň část oříznuté části snímků stane opět viditelnou. Tohle zjištění přimělo uživatele, aby se pořádně podívali i na jiné nástroje pro pořizování snímků obrazovky. Jak uvádí magazín Bleeping Computer, několik zvědavců zjistilo podobné problémy i u Výstřižků ve Windows 11 a staršího nástroje Snip & Sketch.

Problém spočívá ve způsobu, jakým nástroje ukládají soubory PNG, konkrétně v tom, jakým přepisují soubory se stejným názvem poté, co byl původní soubor již uložen. Ukázalo se, že nástroje pro tvorbu snímků obrazovky nesprávně mažou data původně uložených souborů a případně ponechávají části původního neoříznutého obrázku.

Deset obskurních funkcí Windows, které vás ohromí Přečtěte si také:

Deset obskurních funkcí Windows, které vás ohromí

Pomocí nástrojů pro obnovu lze část původního obrázku opět zviditelnit. Úplná, dokonalá obnova původního souboru se v tuto chvíli nezdá být možná, přesto je teoreticky možná do té míry, aby byly obnoveny i části snímku, které mohou být autorem považovány za citlivé.

Problém je poměrně technický, ale zjednodušeně řečeno si představte rozdíl mezi novinovou fotografií, jejíž popisek odstřihnete nůžkami, a takovou, u níž popisek pouze přelepíte nálepkou. Ve druhém případě je popisek stále přítomen, sice poškozený, ale při pečlivé práci stále odkrytelný.

bitcoin_skoleni

Je tu ale i dobrá zpráva. I když je poměrně snadné oříznutý obrázek rozšířit zpět na původní rozměry, neznamená to automaticky obnovení všech oříznutých dat. A metoda obnovy je zneužitelná jen u poměrně specifických případů: Obrázek musí být uložen pomocí nástroje Výstřižky (nebo Snip & Sketch), poté v něm oříznut a znovu uložen do stejného souboru se stejným názvem. Nezdá se, že by chyba byla zneužitelná u obrázků, které ve Výstřižcích rovnou oříznete, pak tento soubor uložíte nebo vložíte do jiného programu.

Zástupci Microsoftu uvedli, že společnost o problému ví a pracuje na jeho řešení.

 

Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí.  Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.