A Microsoft lançou uma atualização de segurança de emergência para a ferramenta de recorte ('Snipping Tool') do Windows 10 e Windows 11 para corrigir a vulnerabilidade de privacidade Acropalypse.
Agora rastreada como
CVE-2023-28303
, a vulnerabilidade Acropalypse é causada por editores de imagem não removerem corretamente os dados de imagem recortados ao sobrescrever o arquivo original.
Por exemplo, se você tirar uma captura de tela e recortar informações sensíveis, como números de conta, você deve ter expectativas razoáveis de que esses dados recortados serão removidos ao salvar a imagem.
No entanto, com esse bug, tanto a Ferramenta de Marcação do Google Pixel quanto a Ferramenta de Recorte do Windows foram encontradas deixando os dados recortados dentro do arquivo original.
Por exemplo, na imagem abaixo, você pode ver como dados extras são salvos após o marcador de arquivo IEND, que denota o final de um arquivo PNG.
Normalmente, não deveria haver dados após o marcador IEND.
Esses dados extras poderiam ser usados para recuperar parcialmente o conteúdo da imagem recortada, expondo potencialmente conteúdo sensível que nunca deveria ser público.
Pesquisadores de segurança disseram ao BleepingComputer que o número de imagens públicas afetadas por essa falha pode ser alto, com o VirusTotal sozinho hospedando mais de 4.000 imagens afetadas pelo bug Acropalypse.
Portanto, em serviços de hospedagem de imagens, o número de imagens afetadas pelo Acropalypse é provavelmente muito maior.
Como o BleepingComputer relatou, a Microsoft estava testando uma correção para o bug da Ferramenta de Recorte do Windows 11 no canal do Windows Insider Canary.
Ontem à noite, a Microsoft lançou publicamente atualizações de segurança para o programa Snip & Sketch do Windows 10 e para a Ferramenta de Recorte do Windows 11 para resolver a falha Acropalypse.
"Lançamos uma atualização de segurança para essas ferramentas via
CVE-2023-28303
.
Recomendamos que os clientes apliquem a atualização", disse a Microsoft ao BleepingComputer.
Após instalar essa atualização de segurança, a ferramenta de recorte do Windows 11 será a versão 10.2008.3001.0, e o Snip & Sketch do Windows 10 será a versão 11.2302.20.0.
A Microsoft agora está rastreando a vulnerabilidade como
CVE-2023-28303
e a titulou "Vulnerabilidade de Divulgação de Informações da Ferramenta de Recorte do Windows".
A vulnerabilidade é classificada como "Baixa" gravidade porque "requer interação incomum do usuário e vários fatores fora do controle do atacante".
No entanto, em nossa experiência, não é incomum tirar uma captura de tela, salvá-la e depois perceber que precisa recortar algo e sobrescrever a imagem original.
Essa imagem agora teria sido afetada pelo bug.
A boa notícia é que, independentemente de como a imagem foi criada, se você não compartilhar uma imagem afetada publicamente, terá pouco risco de a falha ser explorada, a menos que seu dispositivo esteja comprometido.
Para instalar as atualizações de segurança, abra a Microsoft Store e vá para Biblioteca> Obter atualizações, e a versão mais recente da Ferramenta de Recorte do Windows será instalada automaticamente.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...