Dropbox для Windows має невиправлену вразливість нульового дня
1 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Дослідники з безпеки компанії Decoder виявили вразливість нульового дня в програмі Dropbox для Windows.
Уразливість міститься в службі DropboxUpdater для програмного забезпечення і є вразливістю локального підвищення привілеїв, яка дозволить зловмисникам перезаписувати файли в системному каталозі. Після скомпрометації дослідники змогли отримати оболонку командного рядка з привілеями SYSTEM.
Команда повідомила Dropbox про вразливість у вересні, але через 90 днів компанія все ще не вирішила проблему.
У заяві Dropbox підтвердив:
«Ми дізналися про цю проблему через нашу програму винагороди за помилки і найближчими тижнями будемо запроваджувати виправлення, — каже представник Dropbox, — цю помилку можна використовувати лише за обмежених обставин, і ми не отримували жодних повідомлень про це вразливість, яка впливає на наших користувачів».
Для атаки також потрібен локальний користувач, але її можна легко використовувати як частину ланцюгової атаки. Читайте більше про атаку на BleepingComputer тут.
