Microsoft ha lanzado una actualización fuera de banda para abordar una falla que anula la privacidad en su herramienta de edición de capturas de pantalla para Windows 10 y Windows 11.
El asuntoapodado acropalipsispodría permitir a los actores malintencionados recuperar partes editadas de capturas de pantalla, lo que podría revelar información confidencial que puede haber sido recortada.
rastreado como CVE-2023-28303, la vulnerabilidad tiene una calificación de 3.3 en el sistema de puntuación CVSS. Afecta tanto a la aplicación Snip & Sketch en Windows 10 como a Snipping Tool en Windows 11.
«La gravedad de esta vulnerabilidad es baja porque la explotación exitosa requiere una interacción del usuario poco común y varios factores fuera del control de un atacante», dijo Microsoft. dicho en un aviso publicado el 24 de marzo de 2023.
La explotación exitosa requiere que se cumplan los dos requisitos previos siguientes:
- El usuario debe tomar una captura de pantalla, guardarla en un archivo, modificar el archivo (por ejemplo, recortarlo) y luego guardar el archivo modificado en la misma ubicación.
- El usuario debe abrir una imagen en Snipping Tool, modificar el archivo (por ejemplo, recortarlo) y luego guardar el archivo modificado en la misma ubicación.
Sin embargo, no afecta los escenarios en los que una imagen se copia de la Herramienta de recorte o se modifica antes de guardarla.
«Si toma una captura de pantalla de su extracto bancario, la guarda en su escritorio y recorta su número de cuenta antes de guardarlo en la misma ubicación, la imagen recortada aún podría contener su número de cuenta en un formato oculto que alguien podría recuperar quién tiene acceso al archivo de imagen completo», explica Microsoft.
«Sin embargo, si copia la imagen recortada de Snipping Tool y la pega en un correo electrónico o documento, los datos ocultos no se copiarán y su número de cuenta estará seguro».
La vulnerabilidad se solucionó en la versión 10.2008.3001.0 de Snip and Sketch instalada en la aplicación en Windows 10 y la versión 11.2302.20.0 de Snipping Tool instalada en Windows 11.
aCropalypse salió a la luz por primera vez el 18 de marzo de 2022, cuando fue encontró que un error en la herramienta Markup de Google Pixel hizo posible revertir retroactivamente los cambios introducidos en las capturas de pantalla, recuperando así la información personal de las capturas de pantalla e imágenes redactadas, incluidas aquellas que se han recortado o cuyo contenido se ha enmascarado.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
A los ingenieros inversos Simon Aarons y David Buchanan se les atribuye el descubrimiento del problema. La falla de alta gravedad relacionada con Pixel, rastreada como CVE-2023-21036, se informó a Google el 2 de enero de 2023 y fue fijado a través de una actualización lanzada el 6 de marzo de 2023 para dispositivos Pixel 4A, 5A, 7 y 7 Pro.
El defecto ha existido desde el lanzamiento de la utilidad Markup con Android 9 Pie en 2018, y las imágenes que ya se han compartido durante los últimos cinco años son vulnerables al ataque Acropalypse, lo que plantea posibles problemas de privacidad.
«Puede parchearlo, pero no puede dejar de compartir fácilmente todas las imágenes vulnerables que haya enviado», Buchanan dicho en un tweet, describiéndolo como «malo».
Un problema similar con el recorte reversible fue divulgado recientemente también en Google Docs, lo que permite a los usuarios con acceso de solo lectura recuperar versiones originales de imágenes recortadas en documentos compartidos sin tener los permisos de edición para hacerlo.