Dropbox жертва на уязвимост от нулев ден, която излага на риск инсталациите на компютри с Windows

Ние сме все по-загрижени за сигурността на нашите данни и тази, предлагана от приложенията и инструментите, които използваме на нашите компютри. Независимо дали чрез компютър или мобилно устройство или чрез използване на базирани на облак платформи, ние сме внимателни към всяка заплаха, която може да възникне в това отношение, с Facebook или Twitter като нашите два примера .

Сега е Dropbox, популярното приложение, което ни позволява да имаме място в облака, което има уязвимост от нулев ден, която все още не е коригирана окончателно.Повреда, която може да изложи на риск компютри с Windows, които използват Dropbox и за която засега има само временно решение.

Няма последна корекция

"

Въпросният пропуск позволява на атакуващ достъп до запазени разрешения в папката System>, една от най-чувствителните секции на системата. Грешка, която Dropbox Updater (DropboxUpdater), която е инсталирана като услуга с две планирани задачи, които се изпълняват със системни разрешения и тази с тестове, извършени от изследователи, позволява получаване на обвивка на командния ред със SYSTEM привилегии. "

Неуспехът беше съобщен на компанията, на Dropbox, през септември, в рамките на периода, посочен за тези случаи, но след 90 дни все още няма решениеили не са го предлагали. Има само едно изявление от Dropbox, което се отнася до проблема и уведомява, че работят върху решение, което трябва да пристигне през следващите седмици:

Засега няма официално решение от компанията и за да коригирате, дори временно, трябва да използвате заобиколно решение чрез 0Patch . Това е платформа, която предлага микропачове за грешки, които все още не са официално коригирани. По думите на Митя Колсек, главен изпълнителен директор на компанията Acros Security

Тази корекция е временна, както самите те предупреждават. Коригира само уязвимата част и прави ненужно рестартирането на компютъра, за да работи. Това обаче е само временно решение, докато Dropbox не пусне актуализация, която може да се използва локално, но също така може да позволи верижна атака.

Източник | BleepingComputer.