Microsoft a publié une mise à jour de sécurité d’urgence pour Windows 10 et Windows 11 Snipping afin de corriger la vulnérabilité de confidentialité Acropalypse.
Désormais identifiée comme CVE-2023-28303, la vulnérabilité Acropalypse résulte du fait que les éditeurs d’images ne suppriment pas correctement les données d’image recadrées lors de l’écrasement du fichier d’origine.
Par exemple, si vous prenez une capture d’écran et recadrez des informations sensibles, telles que des numéros de compte, vous devez raisonnablement vous attendre à ce que ces données recadrées soient supprimées lors de l’enregistrement de l’image.
Cependant, avec cette erreur, il a été constaté que l’outil de balisage de Google Pixel et l’outil de capture de Windows laissaient les données recadrées dans le fichier d’origine.
Par exemple, dans l’image ci-dessous, vous pouvez voir comment enregistrer des données supplémentaires après la balise de fichier IEND, qui indique la fin d’un fichier PNG. Normalement, il ne devrait pas y avoir de données après la balise IEND.
Ces données supplémentaires peuvent être utilisées pour restaurer partiellement le contenu d’une image recadrée, exposant potentiellement un contenu sensible qui n’a jamais été censé être public.
Des chercheurs en sécurité ont déclaré à BleepingComputer que le nombre d’images publiques affectées par cette faille pourrait être élevé, car VirusTotal héberge à lui seul plus de 4 000 images affectées par la faille Acropalypse.
Par conséquent, dans les services qui s’adressent à l’hébergement d’images, le nombre d’images affectées par Acropalypse est susceptible d’être beaucoup plus élevé.
Microsoft publie une mise à jour de sécurité OOB
Comme indiqué par BleepingComputer, Microsoft testait un correctif pour le bogue de l’outil Snipping dans Windows 11 dans le canal Windows Insider Canary.
Hier soir, Microsoft a publié des mises à jour de sécurité pour Windows 10 Snip & Sketch et Windows 11 Snipping Tool pour résoudre la vulnérabilité Acropalypse.
« Nous avons publié une mise à jour de sécurité pour ces outils via CVE-2023-28303. Nous recommandons aux clients d’appliquer la mise à jour », a déclaré Microsoft à BleepingComputer.
Après avoir installé cette mise à jour de sécurité, la version de Windows 11 Snipping Tool sera 10.2008.3001.0 et la version Windows 10 Snip & Sketch sera 11.2302.20.0.
Microsoft suit maintenant la vulnérabilité comme CVE-2023-28303 Intitulé « Vulnérabilité de divulgation d’informations de l’outil Windows Snipping ».
La vulnérabilité est classée « faible » car elle « nécessite une interaction utilisateur inconnue et plusieurs facteurs indépendants de la volonté de l’attaquant ».
- L’utilisateur doit prendre une capture d’écran, l’enregistrer dans un fichier, modifier le fichier (par exemple, le recadrer), puis enregistrer le fichier modifié au même emplacement.
- L’utilisateur doit ouvrir une image dans l’outil de capture, modifier le fichier (par exemple, le couper), puis enregistrer le fichier modifié au même emplacement.
D’après notre expérience, cependant, il n’est pas rare de prendre une capture d’écran, de l’enregistrer, puis de réaliser que vous devez recadrer quelque chose, puis écraser l’image d’origine. Cette image peut maintenant être affectée par l’erreur.
La bonne nouvelle est que, quelle que soit la manière dont l’image a été générée, si vous ne partagez pas publiquement une image affectée, il n’y a pas beaucoup de risque d’exploiter la faille à moins que votre appareil ne soit compromis.
Pour installer les mises à jour de sécurité, ouvrez le Microsoft Store et accédez à Une bibliothèque > obtenir les mises à jour, La dernière version de Windows Snipping Tool sera installée automatiquement.