Due ricercatori di sicurezza hanno scoperto una grave vulnerabilità nel tool Google Markup che permette di modificare gli screenshot. Il bug, denominato aCropalypse, è presente anche in Snipping Tool (Strumento di cattura) su Windows 11 e Snip & Sketch su Windows 10. Microsoft ha comunicato che indagherà sul problema.
Meglio non condividere gli screenshot
La vulnerabilità, indicata con CVE-2023-21036, consente di recuperare le informazioni sensibili che gli utenti hanno eliminato dagli screenshot PNG. Si tratta quindi di un grave problema di privacy, soprattutto se le immagini vengono condivise online o tramite servizi di messaggistica.
Chris Blume, ingegnere del software che ha lavorato per il PNG Working Group, ha scoperto lo stesso bug in Snipping Tool. In pratica, sovrascrivendo il file a quello originario, viene conservata la parte finale (che non dovrebbe esistere perché il file modificato ha una dimensione inferiore).
In base alle specifiche PNG, i file devono sempre terminare con IEND
, in modo che ogni dato successivo venga ignorato dai software. Snipping Tool non rispetta le specifiche, in quanto conserva i dati dopo IEND
, come si vede nell’immagine.
I software ignorano i dati dopo IEND
, ma è possibile recuperarli e quindi scoprire le informazioni cancellate con le operazioni di editing. Il tool sviluppato da David Buchanan non funziona con i file Windows, ma è sufficiente uno script Python per recuperare parzialmente l’immagine.
La vulnerabilità è presente anche in Snip & Sketch per Windows 10, ma non nella versione originale di Snipping Tool per Windows 10. Un portavoce di Microsoft ha dichiarato che sono state avviate le indagini sul problema, quindi potrebbe essere rilasciato un fix nei prossimi giorni.
Aggiornamento (23/03/2023): il fix è stato rilasciato per gli iscritti al canale Canary del programma Insider.
Aggiornamento (26/03/2023): Microsoft ha rilasciato il fix per tutti. Le nuove versioni di Snipping Tool (Windows 11) e Snip & Sketch (Windows 10) sono disponibili sul Microsoft Store.