悪用の可能性は低いとのこと
Windows「Snipping Tool」に情報漏洩の危険、修正アップデート配信開始
Microsoftが、Windows純正のSnipping Tool(日本では「切り取り領域とスケッチ」)に見つかった脆弱性を修正するための緊急更新プログラムをリリースした。CVE-2023-28303として報告されているこの脆弱性は、Snipping Tool上でトリミングした内容がPNGファイル上に残っており、復元できてしまう可能性があるというものだ。
同じ脆弱性はPixelスマートフォンでも報告されており、こちらはひと足早く3月のセキュリティパッチで修正されている。Microsoftはこの脆弱性の報告を受け、先週初めから調査を開始していた。
この脆弱性の影響を受けるのは、Snipping Tool上でトリミングを行い、PNGとして保存したファイル。たとえば、口座番号などをSnipping Toolでトリミングして公開した場合、その口座番号が読み取られる可能性がある。ただし他の画像編集ソフトで保存し直すと、復元される可能性がなくなる。Twitterなどは画像ファイルを独自に圧縮・保存し直しているので、これまでTwitterで画像を公開していたとしても問題はない。
なお、更新プログラムはSnipping Toolのアップデートという形で配信されている。基本的に自動更新されているはずだが、Microsoft Storeでライブラリから「更新プログラムを取得する」をクリックすると手動でアップデートをダウンロードできる。なお、アップデート後のSnipping Toolのバージョンは、Windows 11では11.2302.20.0、Windows 10では10.2008.3001.0となる。