Windows 11に潜むSnipping Toolの脆弱性 Microsoftが修正するもWindows 10版には残留

Microsoftは、Windows 11版のSnipping Toolにおける編集前の画像データの一部が削除されずにそのまま残っているという脆弱性、通称「acropalypse」を修正した。しかしWindows 10版については修正は実施されていない。

[後藤大地，有限会社オングス]

　コンピュータ情報サイトの「Bleeping Computer」は2023年3月23日（現地時間）、「Windows 11」のスクリーンショットキャプチャーツール「Snipping Tool」に編集前の画像データの一部が削除されずにそのまま残っているという脆弱（ぜいじゃく）性について、Microsoftが開発者向けに修正版を公開したと伝えた。

MicrosoftはSnipping Toolの脆弱性を修正した（出典：Bleeping ComputerのWebサイト）

Windows 11版は修正済みだが……Windows 10版では未修正

　今回の脆弱性は通称「acropalypse」と呼ばれており、Snipping Toolを使って編集した画像から編集前の画像データが漏えいするリスクがある。同脆弱性は当初、「Google Pixel」のスクリーンショット機能に存在していることが判明した。その後Windows 11のSnipping Toolにも存在していることが分かった。

　acropalypseは、編集前の画像データを削除することなく、その一部を上書きする形で編集後の画像データを更新していたことに問題の原因がある。編集前と編集後でファイルサイズが同じであることに懸念を抱いた開発者が調査した結果、この問題が明らかになった。

　Bleeping Computerが同問題を指摘してからすぐに、Microsoftはこの修正に取り掛かった。2023年3月22日（現地時間）にリリースされた「Snipping Tool version 11.2302.20.0」でこれが修正されていることが確認されている。

　なお、同脆弱性は「Windows 10」版のSnipping Toolである「Snip＆Sketch」にも存在することが確認されている。Bleeping Computerは、本稿執筆段階ではWindows 10のSnip＆Sketchについて修正版は公開されておらず、今後修正版が公開されるかどうかは現時点では分からないとしている。