Tras el descubrimiento de vulnerabilidades graves en la aplicación Snipping Tool para Windows 11 y Snip & Sketch en Windows 10, Microsoft lanzó actualizaciones fuera de banda para tapar los agujeros de seguridad.
Las fallas son similar al error aCropalypse descubierto recientemente que afecta a los móviles Pixel, lo que permite”descortar”imágenes recortadas y potencialmente exponer información confidencial. Tras probar brevemente las actualizaciones con Windows Insiders, Microsoft ahora ha puesto las correcciones a disposición de todos los usuarios de Windows 10 y Windows 11.
Ver también:
La vulnerabilidad, rastreada como CVE-2023-28303, ha sido clasificado como de gravedad baja porque Microsoft dice que los escenarios en los que las vulnerabilidades podrían exponer los datos son raros. Como todo lo que se necesita hacer es guardar una captura de pantalla en Snipping Tool o Snips & Sketch, recortar dicha imagen y guardarla con el mismo nombre, la probabilidad parece mayor de lo que Microsoft haría creer a los usuarios.
La empresa explica:
Según la métrica CVSS, se requiere interacción del usuario (UI:R). ¿Qué interacción tendría que hacer el usuario para esta vulnerabilidad de gravedad baja?
La gravedad de esta vulnerabilidad es baja porque la explotación exitosa requiere una interacción del usuario poco común y varios factores fuera del control de un atacante. Para que una imagen esté sujeta a este problema, un usuario debe haberla creado bajo condiciones específicas:
1. El usuario debe tomar una captura de pantalla, guardarla en un archivo, modificar el archivo (por ejemplo, recortarlo) y luego guardar el archivo modificado en la misma ubicación.
2. El usuario debe abrir una imagen en Snipping Tool, modificar el archivo (por ejemplo, recortarlo) y luego guardar el archivo modificado en la misma ubicación.
Casos de uso comunes como copiar la imagen desde Snipping Tool o modificarlo antes de guardarlo no se ve afectado.
Por ejemplo, si toma una captura de pantalla de su extracto bancario, lo guarda en su escritorio y recorta su número de cuenta antes de guardarlo en la misma ubicación, el la imagen recortada aún podría contener su número de cuenta en un formato oculto que podría ser recuperado por alguien que tenga acceso al archivo de imagen completo. Sin embargo, si copia la imagen recortada de Snipping Tool y la pega en un correo electrónico o documento, los datos ocultos no se copiarán y su número de cuenta estará seguro.
Las actualizaciones son ahora disponible para las aplicaciones afectadas a través de Microsoft Store; solo asegúrese de que Snip & Sketch de Windows 10 sea la versión 10.2008.3001.0 o posterior y, en el caso de Windows 11, que esté instalada la versión 11.2302.20.0 o posterior de Snipping Tool.
Crédito de la imagen: VadimVasenin/fotos de depósito