Des patchs permettent désormais de corriger des failles de sécurité de Windows 10 et 11. Ces failles permettaient potentiellement à des pirates de révéler le contenu non édité de captures d'écran recadrées et partagées publiquement.
La vulnérabilité, nommée aCropalypse - en référence au terme Crop (découper) et Apocalypse - était due au fait que les outils de découpe de Windows 11 et l'application Snip and Sketch de Windows 10 ne supprimaient pas correctement les données de l'image recadrée lors de l'écrasement du fichier d'origine indique PCmag.
La faille a soulevé de sérieuses inquiétudes quant à la possibilité pour des acteurs malveillants de récupérer les fichiers originaux non recadrés, et donc d'accéder à des informations privées telles que des détails de carte de crédit ou des mots de passe.
publicité
Vulnérabilité "faible"
Microsoft a déclaré samedi : "Nous avons publié une mise à jour de sécurité pour ces outils via CVE-2023-28303. Nous recommandons aux clients d'appliquer la mise à jour". Les mises à jour de sécurité peuvent être téléchargées en ouvrant le Microsoft Store et en cliquant sur "Library" avant "Get Updates".
Sur son blog officiel consacré aux mises à jour de sécurité, Microsoft qualifie la vulnérabilité de "faible" en termes de gravité, car "une exploitation réussie nécessite une interaction peu commune de l'utilisateur et plusieurs facteurs échappant au contrôle de l'attaquant".
Pour qu'un fichier soit exposé à la faille, un utilisateur doit faire une capture d'écran, l'enregistrer dans un fichier, recadrer ce fichier, puis enregistrer le fichier modifié au même endroit. Les utilisateurs peuvent également voir leurs fichiers exposés s'ils ouvrent une image dans l'outil de découpe, la recadrent, puis enregistrent le fichier recadré au même endroit, indique Microsoft.
La vulnérabilité a été découverte pour la première fois sur les appareils Google Pixel, et affectait l'outil Markup de Pixel. Google a rapidement corrigé le problème dans sa mise à jour de sécurité de mars.
