Microsoft publie une mise à jour pour Win10 Snip & Sketch, Win11 Snipping Tool pour résoudre les failles de confidentialité

Microsoft a finalement résolu le Défaut d'acropalypse dans Windows 10 Snip & Sketch et Outil de découpe Windows 11 en publiant des mises à jour de sécurité qui amènent les outils utilitaires à la version 11.2302.20.0 et à la version 10.2008.3001.0, respectivement. Les mises à jour sont désormais disponibles via le Microsoft Store.

Il y a quelques jours, des experts ont découvert que la faille de confidentialité Acropalypse signalée comme affectant l'outil de balisage de Google Pixel était également présente dans Windows 10 Snip & Sketch et Windows 11 Snipping Tool de Microsoft. Le problème permet aux outils de conserver les données des parties supprimées des fonctionnalités recadrées au lieu de les supprimer complètement après avoir écrasé le fichier d'origine. Cela pose des problèmes possibles, en particulier lorsque les outils affectés par Acropalypse sont utilisés pour recadrer des images sensibles.

Cependant, Microsoft a déclaré que l'Acropalypse, désormais appelée CVE-2023-28303 (Windows Snipping Tool Information Disclosure Vulnerability), est une vulnérabilité de faible gravité en raison des conditions spécifiques qui doivent être remplies. En particulier, la société de Redmond a expliqué qu'une "exploitation réussie nécessite une interaction utilisateur peu commune et plusieurs facteurs hors du contrôle d'un attaquant".

• L'utilisateur doit prendre une capture d'écran, l'enregistrer dans un fichier, modifier le fichier (par exemple, le recadrer), puis enregistrer le fichier modifié au même emplacement.
• L'utilisateur doit ouvrir une image dans Snipping Tool, modifier le fichier (par exemple, le recadrer), puis enregistrer le fichier modifié au même emplacement.