Dropbox slachtoffer van een zero-day-kwetsbaarheid die installaties op Windows-computers in gevaar brengt

We maken ons steeds meer zorgen over de veiligheid van onze gegevens en die van de applicaties en tools die we op onze computers gebruiken. Of het nu via pc of mobiel is of via cloudgebaseerde platforms, we zijn alert op elke dreiging die zich in dit verband kan voordoen, met Facebook of Twitter als onze twee voorbeelden .

Het is nu Dropbox, de populaire applicatie waarmee we ruimte hebben in de cloud, die een zero-day-kwetsbaarheid heeft die nog niet is verholpen definitief.Een storing die Windows-computers die Dropbox gebruiken in gevaar kan brengen en waarvoor voorlopig slechts een tijdelijke oplossing bestaat.

Geen definitieve patch

"

De fout in kwestie geeft een aanvaller toegang tot gereserveerde machtigingen in de map System>, een van de meest gevoelige delen van het systeem. Een bug in de Dropbox Updater (DropboxUpdater), die wordt geïnstalleerd als een service met twee geplande taken die worden uitgevoerd met systeemrechten en die met tests worden uitgevoerd door onderzoekers, maakt het verkrijgen van een opdrachtregelshell met SYSTEEMrechten mogelijk. "

De storing werd in september gemeld aan het bedrijf, aan Dropbox, binnen de voor deze gevallen aangegeven periode, maar na 90 dagen is er nog steeds geen oplossingof niet hebben aangeboden. Er is slechts één verklaring van Dropbox die verwijst naar het probleem en meldt dat ze werken aan een oplossing die in de komende weken zou moeten komen:

Voor nu is er geen officiële oplossing van het bedrijf en om dit te verhelpen, zelfs tijdelijk, moet u een tijdelijke oplossing gebruiken via 0Patch . Het is een platform dat micropatches aanbiedt voor bugs die nog niet officieel zijn gecorrigeerd. In de woorden van Mitja Kolsek, CEO van het bedrijf Acros Security

Deze patch is tijdelijk, zoals ze zelf waarschuwen. Repareert alleen het kwetsbare deel en maakt het onnodig om de computer opnieuw op te starten om het te laten werken. Dit is echter slechts een tijdelijke oplossing totdat Dropbox een update uitbrengt die lokaal kan worden gebruikt, maar ook een kettingaanval mogelijk kan maken.

Bron | BleepingComputer.