Microsoft ha rilasciato un aggiornamento fuori banda (OOB) che risolve il problema, identificato tecnicamente come CVE-2023-28303. La società raccomanda agli utenti di applicare l’aggiornamento il prima possibile. Per farlo, basta recarsi nel Microsoft Store, fare clic sull’icona della Libreria a sinistra e scegliere “Ottieni aggiornamenti” in alto a destra. Questo dovrebbe far sì che la patch venga applicata, se non è già stata installata automaticamente.
Il problema del bug “acropalypse”
Il bug, simile a uno che ha colpito la funzione Markup sui telefoni Google Pixel, riguarda le immagini e gli screenshot ritagliati con lo strumento di cattura schermo di Windows 11 e lo strumento Snip and Sketch di Windows 10. In sostanza, la vulnerabilità CVE-2023-28303 implica che le parti di un’immagine PNG o JPEG tagliate non vengono rimosse correttamente dal file dopo essere stato salvato di nuovo. Le sezioni tagliate potrebbero includere informazioni sensibili come dettagli del conto bancario o cartelle cliniche, ad esempio.
Cosa fare con le immagini già ritagliate
È importante sottolineare che l’applicazione della patch non correggerà i file già ritagliati, ma solo quelli modificati in futuro. Sarà necessario ritagliare nuovamente le immagini esistenti per essere sicuri che le parti in eccesso siano state rimosse correttamente.
Conclusioni: una soluzione rapida per un bug preoccupante
All’inizio, la possibilità di recuperare parti tagliate delle immagini potrebbe non sembrare una vulnerabilità di sicurezza particolarmente grave. Tuttavia, ci sono molte ragioni per cui le immagini vengono ritagliate, come ben sanno i giornalisti tecnologici. Informazioni personali come indirizzi e-mail, numeri di conto bancario e nomi di contatti devono essere eliminati dalle immagini prima che queste vengano condivise su internet.
Con così tante persone che condividono così tante foto con altre persone e sul web, è fondamentale, dal punto di vista della sicurezza, che queste immagini non rivelino più di quanto desideriamo, il che era un problema con CVE-2023-28303.
Microsoft ha almeno agito rapidamente per testare e applicare la correzione, ma è preoccupante che lo stesso bug sia apparso separatamente in software sia di Microsoft che di Google negli ultimi giorni.