Microsoft、Windows標準のスクショ撮影機能で発見された情報漏洩の欠陥を修正

Windows 10の「切り取り領域とスケッチ」アプリ

　米Microsoftは3月24日（現地時間）、Windows 10/11標準のスクリーンショット撮影機能で発見された情報漏洩の脆弱性「CVE-2023-28303」を修正したと発表した。「Microsoft Store」を介したアップデートが行われている。

　この脆弱性は、OS標準のスクリーンショットツールでキャプチャーした画像をファイルへ保存したのち、それを加工（切り取りなど）してPNG形式で同じ場所へ再保存した際、編集前のオリジナルデータがファイルに残ってしまうというもの。プライバシーを保護したり、機密データを隠す目的で画像を加工したにもかかわらず、加工前の画像データの一部が復元できてしまう可能性がある。

　この脆弱性の影響を受けるのは、以下のツール。

• Windows 10：「切り取り領域とスケッチ」（Snip & Sketch）
• Windows 11：「Snipping Tool」

　深刻度の評価は、4段階中最低の「Low」。深刻度の評価が低いのは、「加工したデータをオリジナルデータに上書き保存する」という一般的でない操作が必要で、また外部から悪用するにはいくつかのハードルがあるから、ということのようだ。画像を加工してから新規保存した場合や、コピー＆ペーストした場合には影響しない。

　同社によると、この脆弱性は以下のバージョンで修正済み。

• 切り取り領域とスケッチ（Windows 10）：v10.2008.3001.0およびそれ以降
• Snipping Tool（Windows 11）：v11.2302.20.0およびそれ以降

　アプリは自動で更新されるが、不安な場合は手動による更新も可能だ。Windows 11の場合、「ストア」アプリのサイドバーから［ライブラリ］セクションに移動し、［更新プログラムを取得］［すべて更新］をクリックすればよい。

アプリは自動で更新されるが、不安な場合は手動による更新も可能。Windows 11の場合も、「ストア」でのアプリ名は「切り取り領域とスケッチ」だ

　なお、この脆弱性はWindows 10に搭載されている「Snipping Tool」には影響しないとのこと。

Windows 10の古い「Snipping Tool」。今回の脆弱性は、このアプリには影響しない