Microsoft emite un parche para la falla de privacidad de aCropalypse

Microsoft ha lanzado una actualización fuera de banda para abordar una falla que derrota la privacidad en su herramienta de edición de captura de pantalla para Windows 10 y Windows 11.

El problema, denominado aCropalypse, podría permitir a los actores maliciosos recuperar partes editadas de capturas de pantalla, revelando potencialmente información confidencial que puede haber sido recortada.

Rastreada como CVE-2023-28303, la vulnerabilidad tiene una calificación de 3.3 en el sistema de puntuación CVSS. Afecta tanto a la aplicación Snip & Sketch en Windows 10 como a la herramienta Snipping en Windows 11.

"La gravedad de esta vulnerabilidad es baja porque la explotación exitosa requiere una interacción de usuario poco común y varios factores fuera del control de un atacante", dijo Microsoft en un aviso publicado el 24 de marzo de 2023.

La explotación exitosa requiere que se cumplan los dos requisitos previos siguientes:

• El usuario debe tomar una captura de pantalla, guardarla en un archivo, modificar el archivo (por ejemplo, recortarlo) y, a continuación, guardar el archivo modificado en la misma ubicación.
• El usuario debe abrir una imagen en Herramienta de recorte, modificar el archivo (por ejemplo, recortarlo) y, a continuación, guardar el archivo modificado en la misma ubicación.

Sin embargo, no afecta a los escenarios en los que una imagen se copia de la herramienta Recorte o se modifica antes de guardarla.

"Si toma una captura de pantalla de su extracto bancario, la guarda en su escritorio y recorta su número de cuenta antes de guardarlo en la misma ubicación, la imagen recortada aún podría contener su número de cuenta en un formato oculto que podría ser recuperado por alguien que tenga acceso al archivo de imagen completo", explica Microsoft.


"Sin embargo, si copia la imagen recortada de Snipping Tool y la pega en un correo electrónico o un documento, los datos ocultos no se copiarán y su número de cuenta estará seguro".

La vulnerabilidad se ha solucionado en la aplicación versión 10.2008.3001.0 de Snip y Sketch instalada en Windows 10 y la versión 11.2302.20.0 de Snipping Tool instalada en Windows 11.

aCropalypse salió a la luz por primera vez el 18 de marzo de 2022, cuando se descubrió que un error en la herramienta Markup de Google Pixel permitía revertir retroactivamente los cambios introducidos en las capturas de pantalla, recuperando así información personal de capturas de pantalla e imágenes redactadas, incluidas aquellas que se han recortado o tenían su contenido enmascarado.

Acreditados con el descubrimiento del problema están los ingenieros inversos Simon Aarons y David Buchanan. La falla de alta gravedad relacionada con Pixel, rastreada como CVE-2023-21036, se informó a Google el 2 de enero de 2023 y se solucionó a través de una actualización publicada el 6 de marzo de 2023 para dispositivos Pixel 4A, 5A, 7 y 7 Pro.

La deficiencia ha existido desde el lanzamiento de la utilidad Markup con Android 9 Pie en 2018, y las imágenes ya compartidas en los últimos cinco años son vulnerables al ataque Acropalypse, lo que plantea posibles problemas de privacidad.

"Puedes parcharlo, pero no puedes dejar de compartir fácilmente todas las imágenes vulnerables que puedas haber enviado", dijo Buchanan en un tweet, describiéndolo como "malo".

Un problema similar con el recorte reversible también se reveló recientemente en Google Docs, lo que permite a los usuarios con acceso de solo lectura recuperar versiones originales de imágenes recortadas en documentos compartidos sin tener los permisos de edición para hacerlo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta