Microsoft a publié une mise à jour hors bande pour corriger une faille de confidentialité dans son outil d’édition de capture d’écran pour Windows 10 et Windows 11.
Le problèmesurnommé aCropalypsepourrait permettre à des acteurs malveillants de récupérer des parties modifiées de captures d’écran, révélant potentiellement des informations sensibles qui peuvent avoir été rognées.
Suivi comme CVE-2023-28303, la vulnérabilité est notée 3,3 sur le système de notation CVSS. Cela affecte à la fois l’application Snip & Sketch sur Windows 10 et l’outil Snipping sur Windows 11.
« La gravité de cette vulnérabilité est faible car une exploitation réussie nécessite une interaction utilisateur peu commune et plusieurs facteurs hors du contrôle d’un attaquant », a déclaré Microsoft. a dit dans un avis publié le 24 mars 2023.
Une exploitation réussie nécessite que les deux conditions préalables suivantes soient remplies –
- L’utilisateur doit prendre une capture d’écran, l’enregistrer dans un fichier, modifier le fichier (par exemple, le recadrer), puis enregistrer le fichier modifié au même emplacement.
- L’utilisateur doit ouvrir une image dans Snipping Tool, modifier le fichier (par exemple, le recadrer), puis enregistrer le fichier modifié au même emplacement.
Cependant, cela n’a pas d’incidence sur les scénarios dans lesquels une image est copiée à partir de l’outil de capture ou modifiée avant de l’enregistrer.
« Si vous prenez une capture d’écran de votre relevé bancaire, l’enregistrez sur votre bureau et rognez votre numéro de compte avant de l’enregistrer au même emplacement, l’image recadrée peut toujours contenir votre numéro de compte dans un format caché qui pourrait être récupéré par quelqu’un qui a accès au fichier image complet », explique Microsoft.
« Cependant, si vous copiez l’image recadrée à partir de Snipping Tool et que vous la collez dans un e-mail ou un document, les données masquées ne seront pas copiées et votre numéro de compte sera en sécurité. »
La vulnérabilité a été corrigée dans la version 10.2008.3001.0 de Snip and Sketch installée sur Windows 10 et la version 11.2302.20.0 de Snipping Tool installée sur Windows 11.
aCropalypse est apparue pour la première fois le 18 mars 2022, lorsqu’elle a été trouvé qu’un bogue dans l’outil de balisage de Google Pixel a permis d’annuler rétroactivement les modifications apportées aux captures d’écran, récupérant ainsi des informations personnelles à partir de captures d’écran et d’images expurgées, y compris celles qui ont été recadrées ou dont le contenu a été masqué.
Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées
Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !
Les rétro-ingénieurs Simon Aarons et David Buchanan sont crédités d’avoir découvert le problème. La faille de haute gravité liée à Pixel, identifiée comme CVE-2023-21036, a été signalée à Google le 2 janvier 2023 et a été fixé via une mise à jour publiée le 6 mars 2023 pour les appareils Pixel 4A, 5A, 7 et 7 Pro.
Le défaut existe depuis la sortie de l’utilitaire Markup avec Android 9 Pie en 2018, et les images déjà partagées au cours des cinq dernières années sont vulnérables à l’attaque Acropalypse, ce qui soulève d’éventuels problèmes de confidentialité.
« Vous pouvez le corriger, mais vous ne pouvez pas facilement annuler le partage de toutes les images vulnérables que vous avez pu envoyer », a déclaré Buchanan. a dit dans un tweet, le décrivant comme un « mauvais ».
Un problème similaire avec le recadrage réversible a été révélé récemment dans Google Docs également, permettant aux utilisateurs disposant d’un accès en lecture seule de récupérer les versions originales des images recadrées dans les documents partagés sans avoir les autorisations de modification pour le faire.