資安研究人員Decoder上周公布了Windows版Dropbox客戶端程式的安全漏洞,將允許駭客取得Windows的系統(SYSTEM)權限以執行任意程式。
Decoder與Chris Danieli是在今年9月發現該漏洞並通報Dropbox,當時Dropbox承諾要在10月底修補,在經過了90天的緩衝期之後,Dropbox尚未修補該漏洞,但Decoder選擇公布漏洞細節。
根據Decoder的說法,該漏洞並非存在於Dropbox客戶端程式本身,出錯的是Dropbox用來檢查及執行更新的DropBoxUpdater元件,由於DropBoxUpdater是以系統權限執行,因此成功的開採將允許駭客取得系統權限,他最近測試的版本為Dropbox 87.4.138,依然含有該漏洞,可藉由「硬連結」(hardlinks)開採,只要當初使用者是以管理員權限進行標準安裝,便可能受駭。
目前該漏洞尚未被賦予漏洞編號,Dropbox也還沒修補,不過,專門打造微修補程式的0patch已在Decoder公布漏洞細節之後,釋出了暫時性的免費修補套件。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15
Advertisement