Microsoft ha publicado una actualización de una vulnerabilidad de edición de capturas de pantalla en Windows 10 y 11. La vulnerabilidad se llama «aCropalypse» y permite la edición de capturas de pantalla para que los actores malintencionados puedan revelar información personal recortada u oculta.
Según Microsoft, el problema (CVE-2023-28303) afecta a la aplicación Snipping & Sketch en Windows 10 y Snipping Tool en Windows 11. Sin embargo, solo se aplica a las imágenes creadas en un conjunto de pasos muy específico. Estos pasos incluyen imágenes tomadas, guardadas, editadas y luego guardadas sobre el archivo original y las editadas guardadas en la misma ubicación. Las capturas de pantalla que modifican las imágenes antes de guardarlas no se ven afectadas y no afectarán las capturas de pantalla copiadas y pegadas en un correo electrónico o documento.
Microsoft se enteró del problema a principios de esta semana. Fue entonces cuando Chris Blume, jefe del grupo de trabajo para el formato de imagen PNG, lo llamó la atención. Los mismos investigadores de seguridad son David Buchanan y Simon Aarons, quienes descubrieron la vulnerabilidad aCropalypse en el trabajo en la herramienta Markup de Google Pixel. Del mismo modo, los hacks pueden revertir los cambios realizados en las capturas de pantalla, revelando información personal almacenada en una imagen recortada o sobredibujada.
En Windows, puede descargar las actualizaciones más recientes para las aplicaciones afectadas desde Microsoft Store. Para asegurarse de que las aplicaciones afectadas estén actualizadas, abra la Tienda y seleccione Obtener actualizaciones. Si tiene habilitadas las actualizaciones automáticas, notará que la versión de la herramienta Snipping Tool debe ser 10.2008.3001.0 y la versión de la herramienta Snipping & Sketch debe ser 11.2302.20.0. Sin embargo, al igual que el parche que lanzó Google, la actualización de Microsoft no actualiza las capturas de pantalla publicadas y editadas anteriormente. Esto podría hacer que actores malintencionados busquen estas capturas de pantalla en la web para acceder a la información personal de los usuarios.
Se recomienda a los usuarios descargar actualizaciones y no editar ni compartir capturas de pantalla editadas nuevamente para protegerse contra esta vulnerabilidad. Además, siempre se recomienda a los usuarios que recorten u oculten cuidadosamente las capturas de pantalla que contengan información privada.
Este evento enfatiza una vez más la importancia de la seguridad y requiere que los usuarios de Internet sean más cuidadosos y cautelosos para proteger su información personal. Microsoft actuó rápidamente para cerrar esta vulnerabilidad y continúa trabajando para proteger la seguridad de los usuarios.