Dropbox для Windows имеет неисправленную уязвимость нулевого дня
1 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Исследователи из компании Decoder, занимающейся безопасностью, обнаружили уязвимость нулевого дня в приложении Dropbox для Windows.
Уязвимость находится в службе DropboxUpdater для программного обеспечения и представляет собой уязвимость локального повышения привилегий, которая позволяет злоумышленникам перезаписывать файлы в системном каталоге. После взлома исследователи смогли получить оболочку командной строки с системными привилегиями.
Команда сообщила Dropbox об уязвимости в сентябре, но по прошествии 90 дней компания так и не устранила проблему.
В заявлении Dropbox подтвердили:
«Мы узнали об этой проблеме благодаря нашей программе вознаграждения за обнаружение ошибок и в ближайшие недели выпустим исправление, — говорит представитель Dropbox, — эту ошибку можно использовать только в ограниченных обстоятельствах, и мы не получали никаких сообщений об этом». уязвимость, затрагивающая наших пользователей».
Для атаки также требуется локальный пользователь, но ее можно легко использовать как часть цепной атаки. Подробнее об атаке на BleepingComputer здесь.