MicrosoftがWindows標準のスクショ機能利用で編集前の画像に復元できる問題を修正、各自アップデートの適用を

MicrosoftがWindows標準のスクショ機能利用で編集前の画像に復元できる問題を修正、各自アップデートの適用をMicrosoft Tips

先日からGoogle Pixelのスクリーンショット編集機能やWindows 10/11に標準搭載されているスクリーンショット機能(切り取り&スケッチ/Snipping Tool)を使うと、「編集前の状態に画像を復元できてしまう」という脆弱性(Acropalypse / CVE-2023-28303)が話題になっています。

既にGoogle Pixelの脆弱性は3月のアップデートで修正されていますが、Windowsに関する脆弱性もMicrosoftによって修正されたことが分かりました。

この脆弱性は、Windows 10/11に標準されているスクリーンショットツールでキャプチャーした画像をファイルへ保存した後、それを加工してPNG形式で同じ場所へ再保存した際、編集前のオリジナルデータが一部ファイルに残ってしまい、加工前の画像データを復元することが可能になるというものでした。

一部メディアではかなりヤバい脆弱性として取り上げられていますが、詳細が分かると影響は軽微な印象。現時点で深刻度は「Low(低)」となっており、条件に当てはまらなければ多くの方にとって問題はなさそうです。

ただし、PNG形式の画像を修正して上書き保存し、それをそのままウェブ上にアップロードしている場合は気を付ける必要があります。Discordを2023年1月17日以前に利用していた方や、VirusTotalで画像を検査した場合などに特に注意が必要なようです。
※Discordは2023年1月17日以降、画像アップロードの際に再処理が行われるようになったとの事。

スポンサーリンク

CVE-2023-28303:編集前の状態に画像を復元できてしまう脆弱性が発生する条件と概要

現時点で「CVE-2023-28303」脆弱性によって、編集前の状態に画像を復元できてしまう条件と概要をまとめておきます。

  • 「切り取り&スケッチ/Snipping Tool」で取得したスクリーンショットや既存のファイルを開き、トリミングなどの加工を施した後、同じファイル上に上書き保存した場合、元データの一部が意図せず残り、専用ツールで復元可能となる。
  • 新規保存の場合は問題なし。
  • 現状問題となるのはPNG形式の画像のみ(JPG形式では現時点で復元できていないそう)
  • 復元には完全な画像ファイルにアクセスできる必要がある。
  • 別のツールで編集した場合、残っていたデータは削除されるので問題なし(画像圧縮などを行った場合など)
  • SNSにアップロードした場合も、自動的に画像が最適化される場合は問題なし(PNG画像をそのままアップロードできるサービスの場合は要注意)

一般的に今回の脆弱性が問題となるのは、「PNG画像を編集後上書き保存し、SNS等にアップロード。かつそのPNG画像が自動的に最適化されていない場合」となりそう。かなり限定的な印象ですが、逆にいうとその条件に当てはまる場合は、個人情報を修正した画像は削除しておいた方がよさそうです。

 

気になる方は「Microsoft Store」から手動で最新バージョンに更新を

既に今回の脆弱性についてMicrosoftは修正されたバージョンを配布しており、通常はバックグラウンドで自動更新されているはずです。どうしても気になる方は、手動で最新バージョンに更新しておきましょう。

脆弱性に対応済みのバージョンは以下の通り。

  • Snipping Tool/Windows 11:11.2302.20.0以降
  • 切り取り領域とスケッチ/Windows 10:10.2008.3001.0以降
Microsoft pushes OOB security updates for Windows Snipping tool flaw
Microsoft released an emergency security update for the Windows 10 and Windows 11 Snipping tool to fix the Acropalypse privacy vulnerability.
Windowsの「編集済みスクリーンショットを復元できてしまうバグ」を修正するアップデートが配信される
Windowsで撮影・編集したスクリーンショットに、「編集前の状態に画像を復元できてしまう」という脆弱性(ぜいじゃくせい)が報告されていたのですが、このバグを修正するためのアップデートが配信されました。
Google Pixelのスクリーンショット編集機能に脆弱性、個人情報の漏えいにつながる危険も
Google純正のスマートフォンであるPixelシリーズで使えるスクリーンショット編集機能の「マークアップ」に、編集内容をさかのぼることができる脆弱性(ぜいじゃくせい)が存在することが明らかになりました。この脆弱性は既に最新のアップデートで修正済みですが、アップデート以前に編集されたスクリーンショットから情報が漏れる危...
Snipping Toolで加工前の画像が見えていた問題が修正
 米Microsoftは24日、Windows 10および11のSnipping Toolにおいて、修正や加工を行なってファイルを保存したとしても、そのファイルから加工前の画像情報が見えていた脆弱性「CVE-2023-28303」を修正した。この脆弱性の深刻度は「低」となっている。
マイクロソフト、Windowsのスクリーンショット編集が復元される不具合を修正。Snipping Tool更新版を配信 | テクノエッジ TechnoEdge
Microsoftは3月24日(現地時間)、Windowsに搭載されているSnipping Tool(切り取り領域とスケッチ)に、トリミングした元画像を復元できる脆弱性(CVE-2023-28303)が見つかったとして、セキュリティ更新プログラムの配信を開始しました。

コメント