Dropbox含有可取得系統權限的安全漏洞

資安研究人員Decoder上周公布了Windows版Dropbox客戶端程式的安全漏洞，將允許駭客取得Windows的系統（SYSTEM）權限以執行任意程式。

Decoder與Chris Danieli是在今年9月發現該漏洞並通報Dropbox，當時Dropbox承諾要在10月底修補，在經過了90天的緩衝期之後，Dropbox尚未修補該漏洞，但Decoder選擇公布漏洞細節。

根據Decoder的說法，該漏洞並非存在於Dropbox客戶端程式本身，出錯的是Dropbox用來檢查及執行更新的DropBoxUpdater元件，由於DropBoxUpdater是以系統權限執行，因此成功的開採將允許駭客取得系統權限，他最近測試的版本為Dropbox 87.4.138，依然含有該漏洞，可藉由「硬連結」（hardlinks）開採，只要當初使用者是以管理員權限進行標準安裝，便可能受駭。

目前該漏洞尚未被賦予漏洞編號，Dropbox也還沒修補，不過，專門打造微修補程式的0patch已在Decoder公布漏洞細節之後，釋出了暫時性的免費修補套件。