Microsoft komt met noodpatch voor informatielek in Windows Snipping Tool
Microsoft heeft buiten de maandelijkse patchcyclus om een beveiligingsupdate voor een informatielek in de Snipping Tool van Windows 11 en Snip & Sketch voor Windows 10. Via de kwetsbaarheid is het mogelijk om informatie die in een afbeelding door de gebruiker is verwijderd weer terug te halen. Volgens Microsoft is de impact van de kwetsbaarheid, waardoor gevoelige informatie uit bewerkte screenshots of foto's kan lekken, klein.
"Omdat succesvol misbruik ongebruikelijke gebruikersinteractie vereist en verschillende factoren die buiten de controle van de aanvaller liggen", aldus Microsoft. Zo moet een afbeelding waarbij het probleem zich voordoet onder "specifieke omstandigheden" zijn gemaakt. Een gebruiker moet bijvoorbeeld een screenshot maken, deze aanpassen en dan het originele bestand overschrijven met de aangepaste versie. Toch vond Microsoft het nodig om met een noodpatch voor het probleem te komen en niet te wachten op de patchcyclus van april, die op 11 april plaatsvindt.
Gebeurt door een nieuw plaatje met dezelfde hoogte en breedte aan te maken.
En daarna worden de pixels gekopieerd. Ten minste, enkel de 4 meest significante bits per R/G/B kanaal. (+ruis)
En het word opgeslagen als apart plaatje, natuurlijk. ;)
(Plaatje word nog niet naar standaard formaat geschaald.)
Haal daar nog maar eens data uit terug!
Denk het ook.
In MS Outlook kon (kan ?) je in een bericht een afbeelding invoegen en die vervolgens bijknippen, bijvoorbeeld om delen van de afbeelding te verwijderen die niet voor de geadresseerde(n) bedoeld zijn. Zo gezegd zo gedaan, maar als de ontvanger van het e-mailbericht de afbeelding dan vervolgens apart opslaat en dat afbeeldingsbestand vervolgens opent (in een app om afbeeldingen te bekijken), dan voilà, daar is de volledige afbeelding, inclusief de delen die de van MS Outlook gebruikmakende afzender eraf had geknipt.
Als iemand kan verifiëren of huidige versies van MS Outlook (for Windows) nog over deze geniale "feature" beschikken, graag.
In MS Outlook kon (kan ?) je in een bericht een afbeelding invoegen en die vervolgens bijknippen, bijvoorbeeld om delen van de afbeelding te verwijderen die niet voor de geadresseerde(n) bedoeld zijn. Zo gezegd zo gedaan, maar als de ontvanger van het e-mailbericht de afbeelding dan vervolgens apart opslaat en dat afbeeldingsbestand vervolgens opent (in een app om afbeeldingen te bekijken), dan voilà, daar is de volledige afbeelding, inclusief de delen die de van MS Outlook gebruikmakende afzender eraf had geknipt.
Als iemand kan verifiëren of huidige versies van MS Outlook (for Windows) nog over deze geniale "feature" beschikken, graag.
Ieder digitaal beeld te herleiden is tot de camera of scanner waarmee dat beeld is opgenomen:
https://en.wikipedia.org/wiki/Fixed-pattern_noise
Lukáš, J., Fridrich, J., Goljan, M.: Digital camera identification from sensor pattern noise. IEEE Transactions on Information Forensics and Security 1(2) (2006) 205–21
https://ieeexplore.ieee.org/document/1634362/
https://en.wikipedia.org/wiki/Fixed-pattern_noise
Lukáš, J., Fridrich, J., Goljan, M.: Digital camera identification from sensor pattern noise. IEEE Transactions on Information Forensics and Security 1(2) (2006) 205–21
https://ieeexplore.ieee.org/document/1634362/
Voor elke pixel heb je 3 bytes: Rood, Groen en Blauw.
Ik voeg aan elke kleur een willekeurige waarde toe, waarna ik enkel de 4 meest significante bits opsla.
Hierdoor gaat er al zo veel informatie verloren dat ik niet zeker weet of zelfs die techniek nog toe te passen is...
Waarom zou je het wiel opnieuw uitvinden? Gebruik Dangerzone van Micah Lee @TheIntercept
https://github.com/freedomofpress/dangerzone/
Risico PDF's: digitale Tipp-Ex®
27-03-2023, 23:38 door Erik van Straten
https://www.security.nl/posting/790879/Risico+PDF%27s%3A+digitale+Tipp-Ex%C2%AE
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.