aKropalypse
Aus Wikipedia, der freien Enzyklopädie
„Akropalypse“ leitet hier weiter. Nicht zu verwechseln mit
der Akropolis .
aKropalypse
CVE-Kennung(en) | CVE -2023-21036 |
---|
Datum entdeckt | 2. Januar 2023 ; vor 8 Monaten |
---|
Datum gepatcht | 24. Januar 2023 ; vor 7 Monaten |
---|
Entdecker | Simon Aarons und David Buchanan |
---|
Betroffene Software | Markup, Snip & Sketch für Windows 10 und Snipping Tool für Windows 11 |
---|
aCropalypse (
CVE 2023-21036 ) war eine Schwachstelle in Markup, einem
Screenshot- Bearbeitungstool, das mit der Veröffentlichung von
Android Pie in Google Pixel- Telefonen eingeführt wurde .
Die im Jahr 2023 von den Sicherheitsforschern Simon Aarons und David Buchanan entdeckte Schwachstelle ermöglicht es einem Angreifer, eine unbeschnittene und unveränderte Version eines Screenshots anzuzeigen .
Nach der Entdeckung von aCropalypse wurde auch eine ähnliche
Zero-Day- Sicherheitslücke entdeckt, die
Snip & Sketch für
Windows 10 und
Snipping Tool für
Windows 11 betrifft .
Hintergrund
Weitere Informationen:
Android Pie
Im Jahr 2018 wurde
Android Pie – die neunte Hauptversion von
Android – veröffentlicht. Mit der Veröffentlichung von Android Pie erhielten
Google Pixel- Telefone ab
Pixel 3 einen neuen Screenshot-Editor namens Markup. Der Editor ermöglicht es einem Benutzer, Screenshots zuzuschneiden und sie mithilfe von Bildschirmelementen wie einem Stift und einem Textmarker zu ändern.
[2] Benutzer können diese Screenshots dann in
Google Fotos oder lokal auf ihrem Gerät speichern.
Entdeckung und Nutzung
aCropalypse wurde von Simon Aarons und David Buchanan, zwei Sicherheitsforschern, entdeckt. Es wurde bereits am 11. August 2022 von Lucy Phipps an den Issue-Tracker von Google übermittelt. Berichten zufolge entdeckte Aarons den Fehler, als er bemerkte, dass die Dateigröße für einen von ihm aufgenommenen Screenshot von weißem Text auf schwarzem Hintergrund ungewöhnlich war groß.
[6] Es wurde eine Website erstellt, auf der Benutzer zugeschnittene oder veränderte Bilder einreichen können, um das Original anzuzeigen.
[7]
Verhalten
aCropalypse nutzt eine Schwachstelle in Markup aus. Beim Speichern eines zugeschnittenen Screenshots in Markup wird das geänderte Bild am selben Ort wie das Originalbild gespeichert. Das Bild wird mit der Funktion erstellt; Die Funktion wird mit dem Argument to aufgerufen , das „write“ darstellt, obwohl stattdessen hätte übergeben werden sollen, wodurch das Originalbild abgeschnitten wird. Obwohl das Bild nicht mit , sondern mit erstellt wird , wandelt ersteres ein Argument in eine
Bitmaske für letzteres um. In ähnlichen Funktionen wie der
C- Funktion wird die Datei durch die Verwendung des Arguments automatisch auf die Länge Null gekürzt. ParcelFileDescriptor.open()"w"ParcelFileDescriptor.parseMode()"wt"ParcelFileDescriptor.parseMode()ParcelFileDescriptor.open()
fopen"w"Die Verwendung von "w"wurde in
Android 10 als undokumentierte Änderung implementiert.
Markup verwendet
zlib , eine Komprimierungsbibliothek, die
Deflate- Komprimierung nutzt, die ihrerseits auf den verlustfreien Datenkomprimierungsalgorithmen
LZ77 und LZ78 basiert , bei denen jedes Datenbit auf das letzte verweist, und dynamische
Huffman-Codierung , bei der ein Huffman-Baum am Anfang des Blocks definiert wird . Der Huffman-Baum in Markup-Screenshots wird alle 16 Kilobyte neu angegeben. Der erste Exploit für aCropalypse berechnete eine Liste von 8
Bytestrings vorab und übergab sie an zlib, um ab einem bestimmten Bit-Offset zu beginnen. Darüber hinaus wurden dem Bildstream beim ersten Exploit 32 KB des
ASCII- Zeichens „X“ vorangestellt.
Schadensbegrenzung
Ein interner Patch für aCropalypse wurde am 24. Januar 2023 fertiggestellt
, obwohl ein Fix erst mit einem Sicherheitspatch eingeführt wurde, der am 13. März 2023 veröffentlicht wurde . Bestimmte Social-Media-Seiten, darunter
Twitter , werden automatisch gekürzt hochgeladene Bilder, andere jedoch nicht. Eine solche Site,
Discord , hat die Schwachstelle erst am 24. Januar gemindert.
Cloudflare hat das Problem in
JPEG- Dateien behoben, indem es die End-of-Image-Markierung in
libjpeg-turbo für
Rust und in
PNG -Dateien mit lodepng überprüft hat.
Auswirkungen
aCropalypse betrifft Google Pixel-Telefone mit Android 10, die im September 2019 veröffentlicht wurden.
[15] Zu den betroffenen Fotos könnten
Kreditkartennummern und andere private Fotos gehören.
[16] Zum Zeitpunkt der Offenlegung der Sicherheitslücke hatten mehrere Geräte, darunter Pixel 3 und
3a ,
Pixel 4 ,
Pixel 5 sowie
Pixel 6 und
6a , das Update nicht erhalten und waren somit angreifbar.
Am 21. März stellte der Softwareentwickler Chris Blume fest, dass das
Snipping Tool in
Windows 11 zu einer Dateigröße führt, die einer beschnittenen Version desselben Bildes entspricht.
[18] Auf diese Weise entdeckte Buchanan, dass das Snipping Tool in Windows 11 sowie
Snip & Sketch von
Windows 10 für denselben Exploit anfällig waren, nicht jedoch das Win32 Snipping Tool in Windows 10.