Το Dropbox για Windows έχει μια μη διορθωμένη ευπάθεια Zero-day
1 λεπτό. ανάγνωση
Δημοσιεύθηκε στις
Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα
Ερευνητές από την εταιρεία ασφαλείας Decoder αποκάλυψαν μια ευπάθεια zero-day στην εφαρμογή Dropbox για Windows.
Το θέμα ευπάθειας βρίσκεται στην υπηρεσία DropboxUpdater για το λογισμικό και είναι μια ευπάθεια κλιμάκωσης τοπικών προνομίων που θα επέτρεπε στους εισβολείς να αντικαταστήσουν αρχεία στον κατάλογο του συστήματος. Μόλις συμβιβαστεί, οι ερευνητές μπόρεσαν να αποκτήσουν ένα κέλυφος γραμμής εντολών με προνόμια SYSTEM.
Η ομάδα είχε ενημερώσει το Dropbox για την ευπάθεια τον Σεπτέμβριο, αλλά μετά από 90 ημέρες η εταιρεία δεν έχει ακόμη διορθώσει το πρόβλημα.
Σε μια δήλωση, το Dropbox επιβεβαίωσε:
«Μάθαμε για αυτό το ζήτημα μέσω του προγράμματος επιβράβευσης σφαλμάτων και θα παρουσιάσουμε μια επιδιόρθωση τις επόμενες εβδομάδες», λέει ένας εκπρόσωπος του Dropbox, «αυτό το σφάλμα μπορεί να αξιοποιηθεί μόνο σε περιορισμένες περιπτώσεις και δεν έχουμε λάβει αναφορές για αυτό. ευπάθεια που επηρεάζει τους χρήστες μας».
Η επίθεση απαιτεί επίσης έναν τοπικό χρήστη, αλλά θα μπορούσε εύκολα να χρησιμοποιηθεί ως μέρος μιας αλυσιδωτής επίθεσης. Διαβάστε περισσότερα για την επίθεση στο BleepingComputer εδώ.