Semana passada noticiamos que a Ferramenta de Captura do Windows 11, aquela que você tira print da tela, estava com uma vulnerabilidade que fazia com que ao sobrepor uma imagem já salva por ela, dados da imagem anterior permanecessem na nova imagem, ocasionando um problema de privacidade aí. Depois vimos que esta vulnerabilidade poderia afetar a ferramenta para Windows 10.
Catalogada pela CVE-2023-28303 e conhecida pelo nome de aCropalypse, a vulnerabilidade foi classificada como 3,3 no sistema de pontuação de vulnerabilidades CVSS. Ela afeta a ferramenta ‘Captura e Esboço’ no Windows 10 e a ‘Ferramenta de Captura’ no Windows 11.
“A gravidade desta vulnerabilidade é baixa, já que para a exploração ter sucesso, seria necessário uma interação incomum do usuário e vários fatores fora do controle de um invasor“, disse a Microsoft em um comunicado divulgado em 24 de março de 2023.
Seriam necessários dois pré-requisitos para a exploração ter sucesso:
- O usuário precisar realizar uma captura de tela, salvá-la em um arquivo, modificá-lo (por exemplo, recortá-lo) e salvar o arquivo modificado no mesmo local;
- Ele deveria abrir uma imagem na ferramenta de captura, modificá-la (recortá-la, por exemplo) e salvar o arquivo modificado no mesmo local
“Se você tirar um print de seu extrato bancário, salvá-lo na área de trabalho e riscar o número da sua conta antes de salvá-lo no mesmo local, a imagem alterada ainda poderá conter o número da sua conta em um formato oculto, mas que pode ser recuperado por alguém que tenha acesso ao arquivo de imagem completo“, explica a Microsoft.
“No entanto, se você copiar a imagem alterada da ferramenta de captura e colá-la em um e-mail ou documento, os dados ocultos não serão copiados e o número da sua conta estará seguro.”
A vulnerabilidade foi corrigida na versão 10.2008.3001.0 da ferramenta ‘Captura e Esboço’ no Windows 10 e na versão 11.2302.20.0 da ‘Ferramenta de Captura’ no Windows 11.
O Windows Update de seu Windows deverá fazer a atualização de forma automática para que as respectivas ferramentas estejam nas versões corrigidas.
Créditos:
https://thehackernews.com/2023/03/microsoft-issues-patch-for-acropalypse.html
Créditos da imagem usada na capa do post:
https://tecmasters.com.br/snipping-tool-windows-11-novidades/