Microsoftは3月24日(米国時間)、「CVE-2023-28303 - Security Update Guide - Microsoft - Windows Snipping Tool Information Disclosure Vulnerability」において、脆弱性を修正したWindows 11のスクリーンショットアプリ「Snipping Tool」およびWindows 10のスクリーンショットアプリ「Snip & Sketch」を公開を伝えた。
先日、WindowsのスクリーンショットアプリであるSnipping Toolに画像編集の脆弱性が存在することが明らかになっていた。今回、Windows 10のスクショアプリ「Snip & Sketch」も脆弱性を抱えていることが判明。
この脆弱性は「CVE-2023-28303」として追跡されている。その内容は、編集後のデータに編集前の画像のデータが残っていることがあるというもので、隠蔽したと考えている画像データが実際にはそのまま残っていることありリスクがあると考えられている。
共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3の評価値は3.3とそれほど高くない。というのも、この脆弱性を悪用するにはユーザのアクションが必要であり、アプリを利用しているだけで自動的にサイバー攻撃を受ける類のものではないからだ。ユーザーが個人情報を削除する目的でSnipping ToolやSnip & Sketchを使い、その画像を外部に公開している場合などに影響を受けることになる。
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Snipping Tool 11.2302.20.0およびこれ以降のバージョン
- Snip & Sketch 10.2008.3001.0およびこれ以降のバージョン
インストールされているバージョンは「設定アプリ」→「インストールされているアプリ」→「Snipping Tool」→「詳細オプション」→「バージョン」や「Microsoft Store」→「ライブラリ」→「切り取り領域とスケッチ」→「インストールされているバージョン」で確認できる。アップデートは「Microsoft Store」→「更新プログラムを取得する」などから明示的に操作することが可能。