Dropbox ekspozon përdoruesit përballë një problemi kritik sigurie

Hulumtuesit e sigurisë kanë zbuluar një problem sigurie zero-ditor në aplikacionin Dropbox për Windows me të cilin hakerët mund të fitojnë privilegje sistemi si një përdorues i thjeshtë i Windows.

Në fakt problemi i sigurisë është zbuluar në Shtator dhe hulumtuesit lajmëruan Dropbox më 18 Shtator rreth tij. Kështu kompania kishte 90 ditë afat për të adresuar përpara se të zbulohej publikisht.

90 ditët kaluan pa një zgjidhje se si rezultat jemi në këtë pikë që sot po shkruajmë artikull rreth tij.

Problemi qëndron në shërbimin e përditësimit të Dropbox dhe pavarësisht se hulumtuesit nuk kanë dhënë informacion rreth kodit që shfrytëzon problemin, teorikisht lejon një përdorues lokal në Windows të zëvendësojë disa skedarë që ekzekutohen nga sistemi.

DropboxUpdater instalohet si pjesë e klientit të Dropbox për Windows. Ky shërbimi lançohet çdo orë, dhe sa herë ndodh kjo shkruan një skedar me veprimet e realizuara në një hapësirë ku sistemi e lë vulnerabël. Hulumtuesit arritën të rishkruanin skedarët në këtë hapësirë të kontrolluar nga sistemi e madje të fitonin akses edhe mbi një shell me privilegje sistemi.

Dropbox premtoi të lançonte një përditësim në javët në vijim.