Проблему обнаружили в инструментах Snip & Sketch в Windows 10 и Snipping Tool в Windows 11. Уязвимость срабатывала в том случае, если отредактированное изображение сохранялось вдобавок к исходному файлу, но в случае редактирования перед сохранением или копии скрина в электронном письме ничего не случалось.
Microsoft впервые узнала об этой проблеме в начале этой недели. Именно тогда председатель рабочей группы по формату изображений PNG Крис Блюм обратил на это внимание Дэвида Бьюкенена и Саймона Аарона — тех самых исследователей безопасности, которые сначала обнаружили уязвимость aCropalypse в инструментах разметки Google Pixel.
Как и в Windows, уязвимость в Pixel позволяет хакерам отменить редактирование — обрезку или закрашивание, — которое пользователи используют, чтобы скрыть личную информацию на изображении.
