Microsoft telah mengeluarkan perbaikan darurat untuk kelemahan keamanan Windows 10 dan 11 “Acropalypse” yang memungkinkan pelaku jahat untuk mengungkapkan konten tangkapan layar yang belum diedit.
Seperti yang dilaporkan Bleeping Computer, kerentanan privasi disebabkan oleh Snipping Tools Windows 11 dan aplikasi Snip and Sketch Windows 10 tidak menghapus data gambar yang dipangkas dengan benar saat menimpa file asli.
Kerusakan tersebut, diketahui oleh pensiunan insinyur perangkat lunak Chris Blume, menimbulkan kekhawatiran serius bahwa pelaku jahat dapat memulihkan file asli yang tidak dipotong, dan karenanya mengakses informasi pribadi seperti detail kartu kredit atau kata sandi.
Dalam sebuah pernyataan kepada Bleeping Computer tentang bug tersebut, Microsoft mengatakan pada hari Sabtu: “Kami telah merilis pembaruan keamanan untuk alat ini melalui CVE-2023-28303. Kami menyarankan pelanggan untuk menerapkan pembaruan tersebut.”
Pembaruan keamanan dapat diunduh dengan membuka Microsoft Store dan mengklik “Library” sebelum “Get Updates.”
Menurut peneliti keamanan yang berbicara dengan Bleeping Computer, jumlah gambar publik yang terkena dampak bug Acropalypse kemungkinan besar “jauh lebih tinggi” dari 4.000.
Di blog resminya untuk pembaruan keamanan, Microsoft menggambarkan kerentanan sebagai tingkat keparahan “rendah” karena “eksploitasi yang berhasil memerlukan interaksi pengguna yang tidak biasa dan beberapa faktor di luar kendali penyerang.”
Menurut uk.pcmag.com, untuk file yang terkena dampak, pengguna harus mengambil tangkapan layar, menyimpannya ke file, memotong file itu, lalu menyimpan file yang dimodifikasi ke lokasi yang sama. Pengguna juga dapat membuka file mereka jika mereka membuka gambar di Snipping Tool, memotongnya, lalu menyimpan file yang dipotong ke lokasi yang sama, kata Microsoft.
Microsoft menambahkan bahwa praktik umum seperti menyalin gambar dari Snipping Tool atau memodifikasinya sebelum menyimpannya tidak membuat file terkena bug. Dan hanya file yang dibagikan secara publik yang dapat terpengaruh, kecuali perangkat yang diubahnya disusupi, perusahaan menegaskan.
Seperti yang dicatat Engadget, kerentanan pertama kali ditemukan di perangkat Google Pixel, dan memengaruhi Alat Markup Pixel. Google segera memperbaiki masalah ini dalam pembaruan keamanan bulan Maret.(ra)