Windows Snipping-Tool anfällig für "Acropalypse"

Anfang der Woche wurde eine "Acropalypse" genannte Lücke im Screenshot-Tool von Google Pixel-Phones bekannt. Das Windows 11 Snipping-Tool verhält sich ebenso.

In Pocket speichern vorlesen Druckansicht 211 Kommentare lesen
Bing Image Creator: Monster schreddert Laptop mit Windows-Logo

(Bild: Erstellt mit Bing Image Creator durch heise online)

Update
Lesezeit: 3 Min.
Von

Einen Screenshot oder Foto erstellen, mittels Crop-Funktion etwa sensible Daten wegschneiden, speichern und hochladen: Dieser Prozess konnte etwa auf Googles Pixel-Phones Teile der weggeschnittenen Informationen in der gespeicherten Datei belassen – die Lücke hat den Namen "Acropalypse" erhalten. Während Google ein Update zum Schließen der Lücke verteilt, hat ein IT-Spezialist dasselbe Verhalten im Snipping-Tool von Windows 11 gefunden.

Im Windows Snipping-Tool lässt sich nicht allzuviel mit Grafiken anstellen, sie lassen sich damit zuschneiden. Speichert man die zugeschnittene Datei unter demselben Namen wie das Original ab – wovor ein Warndialog erscheint, ob die vorhandene Datei wirklich überschrieben werden soll –, bleibt die Dateigröße erhalten, anstatt zu sinken.

Das Verhalten lässt sich sehr einfach nachstellen. Es bleiben die vorhandenen Daten beim Überschreiben erhalten, die nach dem Ende des gespeicherten Ausschnitts in der Datei enthalten waren. Dies lässt sich etwa mittels Hex-Editor leicht nachvollziehen.

Eine Original-Datei zum Testen umfasste 192 kbyte. Nach dem Beschneiden und Überspeichern blieb die Dateigröße unverändert.

Die Dateigröße nach Überschreiben der vorhandenen Datei ändert sich beim Snipping-Tool von Windows 11 nicht.

(Bild: Screenshot/dmk)

PNG-Dateien nutzen als Endmarker die Buchstabenfolge IEND. Danach lässt sich in den Dateien suchen:

In der mit dem Snipping-Tool überschriebenen Datei findet sich der PNG-Endmarker mitten in der Datei. Daran schließen sich die zuvor in der Original-Datei enthaltenen Daten an.

(Bild: Screenshot/dmk)

In der mittels Windows-Snipping-Tool überschriebenen Datei findet sich der IEND-Marker mitten in der Datei. Der Rest enthält die Daten, die in der Original-Datei zuvor dort standen. Sie bleiben in der Datei also erhalten und könnten damit unerwünschte Information enthalten. Beim Speichern der Datei mit dem Snipping-Tool von Windows 11 mit neuem Dateinamen schließt die Datei wie erwartet mit dem IEND-Marker in der Zeile um die Adresse 0x5F40.

Andere Windows-Tools gehen hingegen korrekt vor. Selbst das reine Öffnen und Speichern der Datei mit dem "unnötigen Datenballast" mit Windows Paint schrumpft die Datei umgehend auf die korrekte Größe. Potenziell sensible, weggeschnittene Daten sind damit nicht mehr enthalten. Vermutlich ist die nötige Änderung trivial. Das Öffnen von Dateien zum Schreiben kennt in eigentlich allen Programmiersprachen unterschiedliche Modi: Etwa "immer neu anlegen" oder "Überschreiben". Es könnte sein, dass die Entwickler lediglich einen unpassenden Modus gewählt haben.

Anders als das Tool zum Bearbeiten von Screenshots auf Pixel-Handys kommt das Snipping-Tool unter Windows vermutlich nicht ganz so häufig zum Einsatz. Weit verbreitet dürfte etwa die Nutzung des Systemtools Paint sein, das jedoch korrekt mit den Dateien umgeht. Andere Bildbearbeitungen wie Photoshop oder GIMP sind bislang ebenfalls unverdächtig. Dennoch sollte Microsoft das Problem zügig angehen und eine fehlerbereinigte Version des Snipping-Tools verteilen. Dass die Entwickler des Unternehmens wissen, wie es richtig geht, zeigt das Beispiel von Paint, das sogar eine bereits "übergroße Datei mit den unerwünschten Inhalten" beim Speichern korrigiert.

Wer das Snipping-Tool nutzt, sollte Dateien nicht einfach überschreiben, sondern einen neuen Dateinamen vergeben, um nicht ausversehen sensible Informationen preiszugeben. Bereits so abgelegte Dateien lassen sich mit Windows Paint einfach durch Öffnen und einfachem Speichern korrigieren.

Update

Leser haben uns darauf hingewiesen, dass sie diese Schwachstelle auch auf einigen Xiaomi-Smartphones mit der Gallery und Editor beobachten. Nach unseren Tests könnte es jedoch sein, dass dort einfach die Google-Tools unbewusst aktiviert wurden: Wir können den Fehler etwa mit einem Poco F3 und der Xiaomi-Gallery und dem Mi-Editor (letztes Update dafür kam vor drei Tagen) sowie direkt im Screenshot-Tool nicht nachvollziehen. Das Problem scheint daher weiter verbreitet – Hersteller könnten und sollten das rasch mit einem Update korrigieren.

Microsoft testet etwa im experimentellen Canary-Kanal des Microsoft Store schon eine korrigierte Fassung des Snipping Tools, 11.2302.20.0 (es heißt im Store "Ausschneiden und skizzieren"); der anfällige aktuelle Stand ist 11.2302.4.0. Darauf weisen Nutzer unter anderem auf Twitter hin.

(dmk)