Dropbox dla Windows ma nienaprawioną lukę Zero-day
1 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Badacze z firmy zajmującej się bezpieczeństwem Decoder ujawnili lukę dnia zerowego w aplikacji Dropbox na Windows.
Luka ta znajduje się w usłudze DropboxUpdater dla oprogramowania i jest luką w lokalnej eskalacji uprawnień, która umożliwia atakującym nadpisanie plików w katalogu System. Po skompromitowaniu badacze byli w stanie uzyskać powłokę wiersza poleceń z uprawnieniami SYSTEM.
Zespół poinformował Dropbox o luce we wrześniu, ale po 90 dniach firma nie naprawiła problemu.
W oświadczeniu Dropbox potwierdził:
„Dowiedzieliśmy się o tym problemie dzięki naszemu programowi nagród za błędy i będziemy wprowadzać poprawkę w nadchodzących tygodniach”, mówi rzecznik Dropbox, „ten błąd można wykorzystać tylko w ograniczonych okolicznościach i nie otrzymaliśmy żadnych zgłoszeń na ten temat luka w zabezpieczeniach wpływająca na naszych użytkowników.”
Atak wymaga również lokalnego użytkownika, ale można go łatwo wykorzystać jako część ataku łańcuchowego. Przeczytaj więcej o ataku w BleepingComputer tutaj.