В предустановленном приложении операционных систем Windows 10 и 11 нашлась значительная уязвимость, из-за которой конфиденциальность пользовательских данных может серьёзно пострадать. В данный момент уязвимость не закрыта и любой желающий может воспользоваться ей.

Она находится в составе приложения «Ножницы» (Snipping Tool). Уязвимость называется aCropalypse и она даёт возможность отменить внесённые пользователем при редактировании скриншота изменения. Это означает, что можно отменить обрезание или размытие частей изображения, где могут находиться конфиденциальные данные.

После редактирования файла пользователи могут сохранить его под прежним названием, переписав исходный файл. Приложение «Ножницы» при этом не удалит информацию, которую пользователь убрал из первоначального файла. Она останется в конце файла, что для пользователя остаётся незаметным. У злоумышленников есть методы доступа к этой информации.

Проблему можно обнаружить, посмотрев на размер скриншота после редактирования. Обычно он должен быть меньше из-за удаления частей файла, но на самом деле он больше, поскольку информация из исходного изображения тоже входит в состав файла.

На подобных скриншотах может находиться конфиденциальная информация, вроде финансовых данных, адресов электронной почты, логинов, паролей и т.д., сообщает Neowin.