Vulnerabilidad Microsoft

Microsoft lanza actualización de emergencia OOB para corregir vulnerabilidad en la app Snipping

  • La vulnerabilidad de Acropalypse permite la exposición de información confidencial
  • Microsoft lanza actualización de seguridad para corregir la falla de la herramienta de recorte de Windows
  • La falla de seguridad de Acropalypse podría afectar a una gran cantidad de imágenes públicas

Microsoft ha lanzado una actualización de seguridad de emergencia OOB para corregir una vulnerabilidad de privacidad en la herramienta Snipping de Windows 10 y Windows 11, rastreada como CVE-2023-28303.

La vulnerabilidad de Acropalypse es causada por editores de imágenes que no eliminan correctamente los datos de imágenes recortadas al sobrescribir el archivo original. Esto significa que los datos recortados, incluida la información confidencial como los números de cuenta, no se eliminan adecuadamente al guardar la imagen.

Este fallo fue descubierto en la herramienta de marcado de Google Pixel y la herramienta de recorte de Windows, lo que permitió que los datos recortados quedaran dentro del archivo original. Como resultado, los datos adicionales después del marcador de archivo IEND, que indica el final de un archivo PNG, podrían usarse para recuperar parcialmente el contenido de la imagen recortada y exponer contenido confidencial que nunca se pretendió que fuera público.

Microsoft actualización Snipping: falla IEND en PNG
Fuente: Bleepingcomputer

Microsoft lanza actualización de seguridad OOB para corregir la falla de la herramienta Snipping de Windows

Para solucionar la vulnerabilidad, Microsoft ha lanzado lo más rápido posible una actualizació de seguridad para la aplicación Windows 10 Snip & Sketch y Windows 11 Snipping Tool. Después de instalar esta actualización de seguridad, Windows 11 Snipping Tool será la versión 10.2008.3001.0 y Windows 10 Snip & Sketch será la versión 11.2302.20.0.

La vulnerabilidad se clasifica como de gravedad «baja» porque «requiere una interacción del usuario poco común y varios factores fuera del control de un atacante«. Aunque se necesita una interacción específica del usuario para que se explote la falla, la vulnerabilidad sigue siendo un riesgo potencial para los usuarios de Windows.

Microsoft recomienda encarecidamente a los usuarios que apliquen la actualización para proteger su privacidad.


Deja un comentario