Após a descoberta de sérias vulnerabilidades no aplicativo Snipping Tool para Windows 11 e Snip & Sketch no Windows 10, a Microsoft lançou atualizações fora de banda para preencher as falhas de segurança.
As falhas são semelhante ao bug aCropalypse recentemente descoberto que afeta os celulares Pixel, tornando possível”descortar”imagens cortadas e potencialmente expor informações confidenciais. Tendo testado brevemente as atualizações com o Windows Insiders, a Microsoft agora disponibilizou correções para todos os usuários do Windows 10 e Windows 11.
Veja também:
A vulnerabilidade, rastreada como CVE-2023-28303, foi classificado como de baixa gravidade porque a Microsoft diz que os cenários em que as vulnerabilidades podem expor os dados são raros. Como tudo o que precisa ser feito é salvar uma captura de tela no Snipping Tool ou Snips & Sketch, recortar a imagem e salvá-la com o mesmo nome, a probabilidade parece maior do que a Microsoft deseja que os usuários acreditem.
O empresa explica:
De acordo com a métrica CVSS, a interação do usuário é necessária (UI:R). Que interação o usuário teria que fazer para esta vulnerabilidade de baixa gravidade?
A gravidade desta vulnerabilidade é baixa porque a exploração bem-sucedida requer interação incomum do usuário e vários fatores fora do controle de um invasor. Para que uma imagem esteja sujeita a este problema, o usuário deve tê-la criado sob condições específicas:
1. O usuário deve fazer uma captura de tela, salvá-la em um arquivo, modificá-lo (por exemplo, recortá-lo) e salvar o arquivo modificado no mesmo local.
2. O usuário deve abrir uma imagem na Ferramenta de Recorte, modificar o arquivo (por exemplo, recortá-lo) e salvar o arquivo modificado no mesmo local.
Casos de uso comuns como copiar a imagem da Ferramenta de Recorte ou modificá-lo antes de salvá-lo não são afetados.
Por exemplo, se você tirar uma captura de tela de seu extrato bancário, salvá-lo em sua área de trabalho e cortar o número de sua conta antes de salvá-lo no mesmo local, o a imagem recortada ainda pode conter o número da sua conta em um formato oculto que pode ser recuperado por alguém que tenha acesso ao arquivo de imagem completo. No entanto, se você copiar a imagem recortada da Ferramenta de Recorte e colá-la em um e-mail ou documento, os dados ocultos não serão copiados e o número da sua conta estará seguro.
As atualizações são agora disponível para os aplicativos afetados por meio da Microsoft Store; apenas verifique se o Snip & Sketch do Windows 10 é a versão 10.2008.3001.0 ou posterior e, no caso do Windows 11, se a ferramenta de recorte versão 11.2302.20.0 ou posterior está instalada.
Crédito da imagem: VadimVasenin/depositphotos