Microsoft anunció la semana pasada una nueva vulnerabilidad de divulgación de información por un error en sus herramientas de edición de capturas de pantalla tanto en Windows 10 como en Windows 11. Ahora, la compañía ha conseguido corregirlo.
La vulnerabilidad, CVE-2023-28303, de tipo Acropalypse, podría permitir a ciberdelincuentes recuperar secciones de capturas de pantalla, lo que podría revelar información confidencial. Se trata de un error similar al experimentado por Google con su herramienta de edición Markup Google Pixel.
Este fallo afecta a Snip & Sketch en Windows 10 y Snipping Tool en Windows 11, y tiene una puntuación CVSS bajo, de 3.3, según Microsoft, ya que requiere la interacción del usuario para explotarlo.
«La gravedad de esta vulnerabilidad es baja porque su explotación con éxito requiere una interacción del usuario poco común y varios factores fuera del control de un atacante», apunta el aviso de la compañía.
Para que un atacante pueda aprovechar este fallo, el usuario debe haber creado una imagen con unas condiciones específicas:
- Hacer una captura de pantalla, guardarla en un archivo, editarla y luego guardar el archivo modificado en la misma ubicación.
- Abrir una imagen con la herramienta de recorte, editarla y luego guardar el archivo modificado en la misma ubicación.
De esta forma, si un usuario hace una captura de pantalla de su extracto bancario, la guarda en su escritorio y recorta su número de cuenta antes de guardarlo en la misma ubicación, la imagen recortada aún podría contener su número de cuenta en un formato oculto. Un número que alguien con acceso al archivo de imagen completo podría recuperar.
Sin embargo, si el usuario copia la imagen recortada de Snipping Tool y la pega en un correo electrónico o documento, los datos ocultos no se copiarán y su número de cuenta estará seguro.
Nuevas actualizaciones de Microsoft
Ante la problemática que supone esto, Microsoft ha lanzado una serie de parches para corregir este fallo en ambas herramientas de captura de pantalla. Los usuarios pueden implementar los parches actualizando a la versión 10.2008.3001.0 (Snip and Sketch) y la versión 11.2302.20.0 (Snipping Tool).
Las actualizaciones llegan semanas después de que Microsoft corrigiera dos vulnerabilidades de día cero en su actualización de seguridad de marzo.
