A Dropbox for Windows egy javítatlan nulladik napi sebezhetőséget tartalmaz
1 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
A Decoder biztonsági cég kutatói egy nulladik napi sebezhetőséget tártak fel a Dropbox for Windows alkalmazásban.
A biztonsági rés a szoftver DropboxUpdater szolgáltatásában található, és egy helyi jogosultság-kiterjesztéssel kapcsolatos biztonsági rés, amely lehetővé teszi a támadók számára, hogy felülírják a rendszerkönyvtárban található fájlokat. A kompromittálódás után a kutatók egy parancssori shellt kaphattak SYSTEM jogosultságokkal.
A csapat szeptemberben értesítette a Dropboxot a sérülékenységről, de 90 nap elteltével a cég még nem javította ki a hibát.
A Dropbox közleményében megerősítette:
„A hibajavító programunkon keresztül értesültünk erről a problémáról, és a következő hetekben ki fogjuk hozni a javítást” – mondja a Dropbox szóvivője. „Ezt a hibát csak korlátozott körülmények között lehet kihasználni, és nem kaptunk erről jelentést. felhasználóinkat érintő sebezhetőség.”
A támadáshoz helyi felhasználóra is szükség van, de könnyen használható lánctámadás részeként. Olvasson többet a támadásról itt a BleepingComputerben.