Dropbox para Windows tem uma vulnerabilidade de dia zero não corrigida
1 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Pesquisadores da empresa de segurança Decoder revelaram uma vulnerabilidade de dia zero no aplicativo Dropbox para Windows.
A vulnerabilidade está no serviço DropboxUpdater para o software e é uma vulnerabilidade de escalonamento de privilégio local que permitiria que invasores sobrescrevessem arquivos no diretório do sistema. Uma vez comprometidos, os pesquisadores conseguiram obter um shell de linha de comando com privilégios SYSTEM.
A equipe informou o Dropbox sobre a vulnerabilidade em setembro, mas após 90 dias a empresa ainda não corrigiu o problema.
Em um comunicado, o Dropbox confirmou:
“Ficamos sabendo desse problema por meio de nosso programa de recompensas de bugs e lançaremos uma correção nas próximas semanas”, diz um porta-voz do Dropbox, “esse bug só pode ser aproveitado em circunstâncias limitadas, e não recebemos nenhum relatório sobre isso. vulnerabilidade impactando nossos usuários.”
O ataque também requer um usuário local, mas pode ser facilmente usado como parte de um ataque em cadeia. Leia mais sobre o ataque em BleepingComputer aqui.