Dropbox for Windows sisältää korjaamattoman nollapäivän haavoittuvuuden
1 min. lukea
Julkaistu
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Tietoturvayhtiö Decoderin tutkijat ovat paljastaneet nollapäivän haavoittuvuuden Dropbox for Windows -sovelluksessa.
Haavoittuvuus on ohjelmiston DropboxUpdater-palvelussa, ja se on paikallinen käyttöoikeuksien eskalaatiohaavoittuvuus, jonka avulla hyökkääjät voivat korvata järjestelmähakemistossa olevia tiedostoja. Kun se vaarantui, tutkijat pystyivät saamaan komentorivikuoren SYSTEM-oikeuksilla.
Tiimi oli ilmoittanut Dropboxille haavoittuvuudesta syyskuussa, mutta 90 päivän jälkeen yritys ei ole vielä korjannut ongelmaa.
Dropbox vahvisti lausunnossaan:
"Saimme tietää tästä ongelmasta bug bounty -ohjelmamme kautta ja korjaamme sen lähiviikkoina", Dropboxin tiedottaja sanoo, "tätä vikaa voidaan hyödyntää vain rajoitetuissa olosuhteissa, emmekä ole saaneet tästä ilmoituksia. käyttäjiimme vaikuttava haavoittuvuus."
Hyökkäys vaatii myös paikallisen käyttäjän, mutta sitä voidaan helposti käyttää osana ketjuhyökkäystä. Lue lisää hyökkäyksestä täällä BleepingComputerissa.