Dropbox для Windows имеет неисправленную уязвимость Zero-day

Исследователи из компании по безопасности Decoder обнаружили уязвимость нулевого дня в приложении Dropbox for Windows.

Уязвимость находится в сервисе DropboxUpdater для программного обеспечения и представляет собой локальную уязвимость эскалации привилегий, позволяющую злоумышленникам перезаписывать файлы в каталоге System. После взлома исследователи смогли получить оболочку командной строки с привилегиями SYSTEM. Команда сообщила Dropbox об этой уязвимости в сентябре, но через 90 дней компания еще не исправила проблему.

В заявлении Dropbox подтвердил:

«Мы узнали об этой проблеме через нашу программу вознаграждения за ошибку и в ближайшие недели будем внедрять исправление», — говорит представитель Dropbox, — «эта ошибка может быть использована только в ограниченных обстоятельствах, и мы не получили никаких сообщений об этой уязвимости, влияющей на наших пользователей».

Атака также требует наличия локального пользователя, но может быть легко использована как часть цепной атаки.