記者／劉閔 在日前有報導指出 Google Pixel 手機內的截圖編輯工具不安全，有可能會讓用戶洩露個人隱私 …

記者／劉閔

在日前有報導指出 Google Pixel 手機內的截圖編輯工具不安全，有可能會讓用戶洩露個人隱私，而這項被稱為「aCropalypse」的漏洞近日無獨有偶在 windows 10 和 windows 11 的作業系統上也發現存在同樣的 Bug。只要當用戶裁剪截圖並保存，被裁剪的敏感信息並無完全刪除，而駭客便可通過簡單代碼還原其內容，讓用戶隱私再度受到威脅。

根據微軟官方表示，這是經由用戶使用在微軟應用商店下載的 Snipping Tool 截圖工具，當截圖後點擊儲存，若之後對照片進行裁剪和編輯並行使覆蓋原檔案儲存，恐怕會因此受到此漏洞影響，導致裁切與塗抹過後的原檔被破解，而當中可能包含的人名、地址、帳號與信用卡較敏感資訊等被儲存成 PNG 格式的圖片很容易被有心人士還原圖檔，進而產生個資外洩的情形。

對於這項錯誤，微軟表示若有有心人士想要成功盜取資訊，需要使用罕見的使用者互動和攻擊者無法控制的幾個因素，意指有相當的困難度。另外當檔案完成建立後，只要不公開共享，那麼被利用的風險與嚴重性就相對降低。

但即使如此微軟仍然對此事件快速做出修正，並且在微軟的應用商店 Microsoft Store 釋出修補上述資安漏洞的更新版本，建議用戶可以自行下載安裝，讓用戶的電腦可以避免受到影響。

至於在這修補更新檔之前，有曾經使用 Snipping Tool 截圖工具並遭受到有心人士利用該漏洞還原竊取資訊的受災戶有多少，目前尚未有完整的統計數據。

這篇文章 ­­­Windows截圖修改曝漏洞　微軟：威脅低已推更新修復 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 英國資安業者NCC集團（NCC Group）旗下Fox IT團隊警告，雖然科技公司思杰（Citr …

編譯／鄭智懷

英國資安業者NCC集團（NCC Group）旗下Fox IT團隊警告，雖然科技公司思杰（Citrix）在2022年11月與12月已經分別修復CVE-2022-27510和CVE-2022-27518兩個嚴重的產品安全漏洞，但是仍然有數千個設備仍未更新，容易受到駭客攻擊。

《The Hacker News》報導，CVE-2022-27510可以使駭客繞過身分驗證，侵入受害者設備；CVE-2022-27518則允許未經身分驗證的攻擊者對入侵的設備下達遠端命令並控制之。

思杰和美國國家安全局（NSA）調查發現，在思杰提供安全更新以前，駭客組織已經大規模利用CVE-2022-27518入侵全球思杰旗下產品。

Fox IT團隊在2022年11月11日以前的統計資料顯示，全球共有2.8萬台 Citrix 伺服器上線。最新的分析發現，大部分的伺服器已經更新至13.0-88.14版本，不受上述安全漏洞影響。另外有約3,500個使用12.1-65.21版本的端點設備─數量排名第2，若使用SAML SP 或 IdP 配置，將容易受到CVE-2022-27518 的攻擊；約500個使用12.1-63.22版本的端點設備─數量排名第7，則同時容易受到CVE-2022-27510和CVE-2022-27518的攻擊。

該團隊指出，在思杰和美國國家安全局（NSA）發布警告，與以及前者推出更新後，前9大使用思杰端點設備的國家遭受CVE-2022-27518攻擊的次數大幅減少。研究進一步提到，前20大使用思杰端點設備的國家中，大部分的國家如美國、德國、英國、瑞士、荷蘭、澳洲等國透過正確更新而免於上述漏洞威脅的比例皆高於4成，而日本與中國的比例最低，分別只有33%和20%。

資料來源：The Hacker News、Fox It  

這篇文章 數千台思杰伺服器具嚴重資安風險　中國風險全球最高 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。