In seguito alla scoperta di gravi vulnerabilità nell’app Snipping Tool per Windows 11 e Snip & Sketch in Windows 10, Microsoft ha rilasciato aggiornamenti fuori banda per colmare le falle di sicurezza.
I difetti sono simile al bug aCropalypse scoperto di recente che colpisce i cellulari Pixel, rendendo possibile”ripristinare”le immagini ritagliate e potenzialmente esporre informazioni sensibili. Dopo aver testato brevemente gli aggiornamenti con Windows Insider, Microsoft ha ora reso disponibili le correzioni a tutti gli utenti di Windows 10 e Windows 11.
Vedi anche:
La vulnerabilità, tracciata come CVE-2023-28303, è stata classificato come gravità bassa perché Microsoft afferma che gli scenari in cui le vulnerabilità potrebbero esporre i dati sono rari. Poiché tutto ciò che deve essere fatto è salvare uno screenshot in Snipping Tool o Snips & Sketch, ritagliare detta immagine e salvarla con lo stesso nome, la probabilità sembra maggiore di quanto Microsoft vorrebbe far credere agli utenti.
Il la società spiega:
Secondo la metrica CVSS, è richiesta l’interazione dell’utente (UI:R). Quale interazione dovrebbe fare l’utente per questa vulnerabilità di gravità Bassa?
La gravità di questa vulnerabilità è Bassa perché lo sfruttamento riuscito richiede un’interazione dell’utente non comune e diversi fattori al di fuori del controllo di un utente malintenzionato. Affinché un’immagine sia soggetta a questo problema, un utente deve averla creata in condizioni specifiche:
1. L’utente deve acquisire uno screenshot, salvarlo in un file, modificare il file (ad esempio ritagliarlo) e quindi salvare il file modificato nella stessa posizione.
2. L’utente deve aprire un’immagine nello Strumento di cattura, modificare il file (ad esempio, ritagliarlo) e quindi salvare il file modificato nella stessa posizione.
Casi d’uso comuni come copiare l’immagine dallo Strumento di cattura o modificarlo prima di salvarlo non ne risente.
Ad esempio, se acquisisci uno screenshot del tuo estratto conto bancario, lo salvi sul desktop e ritagli il numero del tuo conto prima di salvarlo nella stessa posizione, il l’immagine ritagliata potrebbe contenere ancora il tuo numero di conto in un formato nascosto che potrebbe essere recuperato da qualcuno che ha accesso al file immagine completo. Tuttavia, se copi l’immagine ritagliata dallo Strumento di cattura e la incolli in un’e-mail o in un documento, i dati nascosti non verranno copiati e il tuo numero di account sarà al sicuro.
Gli aggiornamenti sono ora disponibile per le app interessate tramite Microsoft Store; assicurati solo che la versione 10.2008.3001.0 o successiva di Snip & Sketch di Windows 10 e, nel caso di Windows 11, che sia installata la versione 11.2302.20.0 o successiva dello strumento di cattura.
Credito immagine: VadimVasenin/deposita foto