ל-Dropbox עבור Windows יש פגיעות לא מתוקנת של Zero-day
1 דקות לקרוא
פורסם ב
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
חוקרים מחברת האבטחה Decoder חשפו פגיעות של יום אפס באפליקציית Dropbox for Windows.
הפגיעות נמצאת בשירות DropboxUpdater עבור התוכנה והיא פגיעות הסלמה של הרשאות מקומית שתאפשר לתוקפים להחליף קבצים בספריית המערכת. לאחר פשרה, החוקרים הצליחו לקבל מעטפת שורת פקודה עם הרשאות SYSTEM.
הצוות הודיע לדרופבוקס על הפגיעות בספטמבר, אך לאחר 90 יום החברה עדיין לא תיקנה את הבעיה.
בהודעה שדרופבוקס אישרה:
"נודע לנו על בעיה זו דרך תוכנית הבאג'ים שלנו ונוציא תיקון בשבועות הקרובים", אומר דובר Dropbox, "ניתן למנף את הבאג הזה רק בנסיבות מוגבלות, ולא קיבלנו דיווחים על כך פגיעות המשפיעה על המשתמשים שלנו."
ההתקפה דורשת גם משתמש מקומי, אך ניתן בקלות להשתמש בה כחלק מהתקפת שרשרת. קרא עוד על התקיפה ב- BleepingComputer כאן.