Microsoft a poussé une mise à jour pour corriger une vulnérabilité d’édition de capture d’écran dans Windows 10 et 11, comme repéré plus tôt par Ordinateur qui bipe. La faille de sécurité, surnommée «aCropalypse», pourrait permettre aux mauvais acteurs de récupérer les parties modifiées des captures d’écran, révélant potentiellement des informations personnelles qui avaient été rognées ou dissimulées.
Selon Microsoft, le problème (CVE-2023-28303) affecte à la fois l’application Snip & Sketch sur Windows 10 et l’outil Snipping sur Windows 11. Cependant, il ne s’applique qu’aux images créées dans un ensemble d’étapes très spécifiques. Cela inclut ceux qui ont été pris, enregistrés, modifiés, puis enregistrés sur le fichier d’origine, ainsi que ceux ouverts dans l’outil de capture, modifiés, puis enregistrés au même emplacement. Cela n’a aucun effet sur les captures d’écran modifiées avant les enregistrer et n’affecte pas non plus les captures d’écran qui ont été copiées et collées, par exemple, dans le corps d’un e-mail ou d’un document.
Microsoft a appris le problème pour la première fois plus tôt cette semaine. C’est alors que Chris Blume, président du groupe de travail sur le format d’image PNG, l’a porté à l’attention de David Buchanan et Simon Aarons, les mêmes chercheurs en sécurité qui ont découvert la vulnérabilité aCropalypse affectant l’outil de balisage de Google Pixel. De même, cela permet aux pirates d’annuler les modifications apportées aux captures d’écran, ce qui permet de révéler les informations personnelles dans une image que quelqu’un pensait cacher, que ce soit en la recadrant ou en griffonnant dessus.
Vous pouvez télécharger les dernières mises à jour pour les applications concernées sur Windows en vous rendant sur le Microsoft Store, en cliquant sur Bibliothèquepuis en choisissant Obtenir les mises à jour. Si les mises à jour automatiques sont activées, vous devriez remarquer que l’outil Snipping doit être défini sur la version 10.2008.3001.0, tandis que l’outil Snip & Sketch sera la version 11.2302.20.0. Tout comme le correctif publié par Google, le changement de Microsoft ne mettra pas à jour les captures d’écran modifiées qui avaient déjà été publiées en ligne, ce qui pourrait potentiellement laisser des milliers de captures d’écran sur le Web que les mauvais acteurs peuvent exploiter.