Update: Microsoft schliesst Sicherheitslücke im Snipping Tool
Beim Zuschneiden von Grafiken haben das Snipping Tool von Microsoft und das Markup Tool von Google die gelöschten Bereiche nicht aus der Bilddatei entfernt. Kritisch ist dies dann, wenn durch das Zuschneiden sensible Daten entfernt werden sollten. Die Bugs sind inzwischen behoben.
Update vom 4.4.2023: Microsoft hat eine aktualisierte Version seines Snipping-Tools veröffentlicht. Wie "Heise" berichtet, schliesst das Unternehmen mit Version 11.2302.20.0 die Sicherheitslücke, die unter dem Namen "Acropalypse" bekannt wurde. Die aktualisierte Version stehe im Microsoft Store zum Download bereit und werde in vielen Fällen automatisch auf Windows Systeme verteilt, schreibt Heise.
Originalmeldung vom 23.3.2023: Vorsicht beim Zuschneiden von Screenshots: Gelöschte Daten lassen sich zurückholen
Ein Bug in zwei bekannten Grafik-Tools gefährdet möglicherweise sensible Daten. Wie "Bleepingcomputer" berichtet, tritt der "Acropalypse" genannte Bug beim Zuschneiden von Grafiken auf. Dabei werden nämlich die ausgeschnittenen Inhalte nicht aus der Grafikdatei gelöscht, sondern bleiben darin gespeichert. Die Tools markieren lediglich die ausgeschnittenen Bilddaten als nicht mehr zur Datei gehörend.
Laut "Bleepingcomputer" entdeckten diesen Fehler zunächst die beiden Sicherheitsforscher David Buchanan und Simon Aarons im Markup Tool von Google, welches auf dessen Pixel-Smartphones installiert ist. Zudem bestätigte inzwischen ein Software Engineer namens Chris Blume, dass der Fehler auch in Microsofts Snipping Tool steckt, welches Teil des Betriebssystems Windows 11 ist. Die Experten merken an, dass der Bug nur in bestimmten Fällen auftritt. Beispielsweise dann, wenn ein Screenshot mit dem Microsoft-Tool im PNG-Format abgespeichert wird.
Google veröffentlicht Update, Microsoft untersucht noch
Das Portal zeigt auf, dass sich vermeintlich aus den Bildern gelöschte Daten oft zumindest teilweise - und mit relativ geringem Aufwand - wiederherstellen lassen. Kritisch ist dies dann, wenn durch das Zuschneiden der Grafiken sensible Daten hätten entfernt werden sollen - etwa aus Screenshots oder gescannten Dokumenten.
In einer Stellungnahme teilt Microsoft gegenüber "Bleepingcomputer" mit, man gehe den Berichten nach und werde bei Bedarf Massnahmen ergreifen.
Google wiederum habe den Bug Ende Februar 2023 mit einem Software-Update für die Pixel-Smartphones behoben, schreibt "Bleepingcomputer". Das Portal merkt aber an, dass das Markup Tool seit seiner Erstveröffentlichung mit Android-Version 9 - im August 2018 - den Fehler aufgewiesen habe. Entsprechend seien alle seither damit bearbeiteten Grafiken möglicherweise gefährdet.
Schon länger missbrauchen Cyberkriminelle Bilddateien, um Unternehmen anzugreifen. Die Files dienen dabei etwa dazu, um unbemerkt Informationen aus einem attackierten Unternehmensnetzwerk zu übertragen. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
St. Galler Kantonalbank sucht Leiter Cybersecurity & IAM
Cyberkriminelle geben sich als Logistikdienstleister aus
Die Spring Party bringt die Westschweizer IT-Branche zusammen
Möge der Saft wieder mit dir sein
Update: Berner Grosser Rat befürwortet Zentralisierung der Datenschutzbehörden
Schwachstelle macht aus KI-Agenten gefährliche Plaudertaschen
Wie man mit einer Smartwatch einen Air Gap zunichte macht
Bund und Schweizer Finanzsektor vertiefen ihre Zusammenarbeit für mehr Cybersicherheit
Graubünden ernennt Leiterin der neuen Aufsichtsstelle Datenschutz
