Microsoftは、最近明らかになった「acropalypse」と呼ばれるプライバシー上の欠陥を修正するために、Windows 11のSnipping Toolのアップデート版をテストしている。この欠陥は、ツールによって切り取られたはずの画像の一部を復元することが可能になってしまうというものだ。

WindowsエンスージアストのXeno氏が報告したように、Microsoftは昨日、Windows 11 Snipping Toolのバージョン 11.2302.20.0をCanaryチャンネルの Windows Insiderに対してMicrosoft Store経由でリリースした。

BleepingComputerによると、このリリースでMicrosoft は、Windows 11 上の元のファイルに変更を保存する際に、切り取った画像データが削除されないというバグを修正した。ただし、Windows 10では依然としてこのバグが存在している。

Acropalypse プライバシー欠陥とは？

先週、「acropalypse」と名付けられた新たなセキュリティ脆弱性が、Google Pixelデバイスに対して報告された。この脆弱性により、切り取られた画像から削除されたコンテンツを一部復元することが出来てしまうことが明らかになったのだ。

このバグは、画像共有の際、切り取りツールで機密情報を切り取って共有することが一般的であるため、プライバシー上のリスクとされている。これには、ドキュメントからの機密情報や位置特定情報、ヌード画像、ブラウザのスクリーンショットのセンシティブなURL、クレジットカード情報などの機密情報などが含まれる。

この脆弱性は、セキュリティ研究者の David Buchanan氏と Simon Aarons氏によって明らかにされ、Google Pixelの「マークアップツール」に関して Google に報告された。その後、GoogleはGoogle Pixelにおける3月のセキュリティアップデートの一部としてこれを修正した。

その後すぐに、このバグが Windows Snipping Toolにも存在し、切り取ったスクリーンショットが部分的に回復できることが発見されたのだ。

このバグは、Windows Sniping Toolと Google Pixelのマークアップツールでそれぞれ異なる理由によって引き起こされるが、結果として、画像編集ツールを使用して写真を切り取り、元のファイルを変更で上書きすると、切り取られたデータがファイルから削除されない点を利用している。

代わりに、切り取られた画像は元の画像と同じサイズになり、2つの IENDデータチャンクが含まれるようになる。最初のチャンクは新しい切り取り画像の適切な終了点であり、2番目のチャンクは画像が保存された際に切り取られるべきだったデータの終了点だ。

新しい Windows 11 Snipping Toolのバージョン 11.2302.20.0 では、切り取りデータを元のファイルに上書きする際、ソフトウェアは正しく不要なデータを削除するようになり、画像内に1つのIENDデータチャンクだけが残るようになった。これにより、Windows 11 Snipping Toolでの問題が解決され、今後数週間以内に製品版にも反映される予定とのことだ。

ただし、この問題は Windows 10 のスニッピングツール（Snip and Sketch）にも影響を与えており、バグを解決するアップデートはまだ提供されていないため注意が必要だ。

Source

• Xeno氏のツイート
• via BleepingComputer: Microsoft fixes Acropalypse privacy bug in Windows 11 Snipping Tool