Dropbox สำหรับ Windows มีช่องโหว่ Zero-day ที่ไม่ได้รับการแก้ไข
1 นาที. อ่าน
เผยแพร่เมื่อ
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
นักวิจัยจากบริษัทรักษาความปลอดภัย Decoder ได้เปิดเผยช่องโหว่ Zero-day ในแอป Dropbox สำหรับ Windows
ช่องโหว่นี้อยู่ในบริการ DropboxUpdater สำหรับซอฟต์แวร์ และเป็นช่องโหว่ในการยกระดับสิทธิ์ในเครื่อง ซึ่งจะทำให้ผู้โจมตีสามารถเขียนทับไฟล์ในไดเร็กทอรีระบบได้ เมื่อถูกบุกรุกนักวิจัยก็สามารถได้รับเชลล์บรรทัดคำสั่งที่มีสิทธิ์ของระบบ
ทีมได้แจ้ง Dropbox ถึงช่องโหว่ในเดือนกันยายน แต่หลังจาก 90 วัน บริษัท ยังไม่ได้แก้ไขปัญหา
ในแถลงการณ์ที่ Dropbox ยืนยัน:
“เราทราบปัญหานี้ผ่านโปรแกรมให้รางวัลจุดบกพร่องของเรา และจะดำเนินการแก้ไขในสัปดาห์ต่อๆ ไป” โฆษกของ Dropbox กล่าว “ข้อบกพร่องนี้สามารถใช้ประโยชน์ได้ในสถานการณ์ที่จำกัดเท่านั้น และเราไม่ได้รับรายงานใดๆ เกี่ยวกับเรื่องนี้ ช่องโหว่ที่ส่งผลกระทบต่อผู้ใช้ของเรา”
การโจมตียังต้องการผู้ใช้ในพื้นที่ แต่สามารถใช้เป็นส่วนหนึ่งของการโจมตีแบบลูกโซ่ได้อย่างง่ายดาย อ่านเพิ่มเติมเกี่ยวกับการโจมตี ที่ BleepingComputer ที่นี่.