Dropbox pro Windows má neopravenou zranitelnost Zero-day
1 min. číst
Publikované dne
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Výzkumníci z bezpečnostní společnosti Decoder odhalili zero-day zranitelnost v aplikaci Dropbox pro Windows.
Tato chyba zabezpečení je ve službě DropboxUpdater pro software a jde o chybu zabezpečení týkající se eskalace místních oprávnění, která by útočníkům umožnila přepsat soubory v adresáři System. Jakmile byl kompromitován, výzkumníci byli schopni získat shell příkazového řádku s oprávněními SYSTEM.
Tým informoval Dropbox o zranitelnosti v září, ale po 90 dnech společnost ještě problém nevyřešila.
V prohlášení Dropbox potvrdil:
„O tomto problému jsme se dozvěděli prostřednictvím našeho bug bounty programu a v nadcházejících týdnech zavedeme opravu,“ říká mluvčí Dropboxu, „tuto chybu lze využít pouze za omezených okolností a neobdrželi jsme žádné zprávy o tom. zranitelnost ovlivňující naše uživatele.“
Útok také vyžaduje místního uživatele, ale lze jej snadno použít jako součást řetězového útoku. Přečtěte si více o útoku na BleepingComputer zde.