Przykro żyć w świecie, w którym nawet Microsoft Paint jest dziurawy
Microsoft umieścił w Microsoft Store rzadką aktualizację aplikacji Paint 3D. Okazuje się, że była ona wadliwa, pozwalając w specyficznej sytuacji na przejęcie kontroli nad komputerem przez osobę trzecią. Zastosowanie aktualizacji wysoce wskazane.
W drugi wtorek każdego miesiąca Microsoft publikuje aktualizacje serwisowe do swoich systemów operacyjnych. Te usuwają usterki związane z wydajnością, stabilnością i bezpieczeństwem systemu. Tym razem jednak częścią tak zwanego Patch Tuesday była też mała aktualizacja zapewniona przez Microsoft Store.
Mowa o aktualizacji aplikacji Paint 3D. Osoby wyczekujące nowych funkcji dla dostarczanego z Windowsem 10 edytora graficznego mogą poczuć się rozczarowane, bowiem nic wraz z aktualizacją nie zostało dodane ani usprawnione. Usunięto za to dość istotną lukę w zabezpieczeniach.
Microsoft Paint 3D z luką bezpieczeństwa. Pozwalała na zdalne wykonanie kodu na atakowanym komputerze.
Usterka skatalogowana jako CVE-2021-31946 na szczęście nie miała statusu krytycznego, bowiem wymaga pewnego konkretnego działania ze strony użytkownika. Ten musiał zostać przez kogoś skłoniony do otwarcia w Paint 3D spreparowanego pliku typu GLB (model 3D). Wadliwy mechanizm odczytu danych z pliku umożliwiał atakującej osobie zaaplikowanie wykonywalnego kodu – co w praktyce oznacza możliwość przejęcia kontroli nad zainfekowanym komputerem.
Usterka została już załatana przez Microsoft. Użytkownik na domyślnych ustawieniach systemu nie musi podejmować żadnych działań, aktualizacja została wykonana automatycznie. Jeżeli jednak ktoś wyłączył automatyczne uaktualnianie, należy uruchomić Microsoft Store, kliknąć w trzy kropki w prawym górnym rogu, wybrać Pliki do pobrania i aktualizacje i tam, w sekcji Pobrane, kliknąć na Pobierz aktualizacje.