Uma nova atualização para corrigir uma vulnerabilidade de edição de captura de tela no Windows 10 e 11, foi lançada pela Microsoft. Segundo o Bleeping Computer, a falha de segurança, apelidada de “aCropalypse”, pode permitir que pessoas mal-intencionadas recuperem as partes editadas das capturas de tela, potencialmente revelando informações pessoais que foram cortadas ou ocultadas.
Microsoft diz que o problema (CVE-2023-28303) afeta o aplicativo Snip & Sketch no Windows 10 e a ferramenta Snipping no Windows 11. Entretanto, se aplica apenas a imagens criadas em um conjunto muito específico de etapas. Onde inclui aqueles que foram tirados, salvos, editados e salvos sobre o arquivo original, bem como aqueles abertos na ferramenta de recorte, editados e salvos no mesmo local. Não tem nenhum efeito nas capturas de tela modificadas antes de salvá-las e também não afeta as capturas de tela copiadas e coladas, digamos, no corpo de um e-mail ou documento.
A empresa só soube da falha no início da semana passada, quando o Chris Blume, presidente do grupo de trabalho para o formato de imagem PNG, chamou a atenção de David Buchanan e Simon Aarons, os mesmos pesquisadores de segurança que descobriram a vulnerabilidade aCropalypse afetando a ferramenta de marcação do Google Pixel. Isso acaba permitindo que os os hackers revertam as alterações feitas nas capturas de tela, tornando possível revelar as informações pessoais em uma imagem que alguém pensou estar escondendo, seja recortando ou rabiscando sobre ela.
Através do Microsoft Store, o usuários podem baixar as atualizações mais recentes dos aplicativos afetados, basta clicar em Biblioteca e escolhendo Obter atualizações. Caso tenha atualizações automáticas ativadas, observe que a ferramenta Snipping deve ser configurada para a versão 10.2008.3001.0, enquanto a ferramenta Snip & Sketch será a versão 11.2302.20.0. Assim como o patch que o Google emitiu, a mudança da Microsoft não atualizará as capturas de tela editadas que já foram postadas online, o que poderia deixar milhares de capturas de tela na web que os malfeitores podem explorar.