Dropbox Zero-Day Flawが一時的に修正される

オペレーティングシステム上で最も特権のあるアカウントであるDropboxにはゼロデイ脆弱性があります。これにより、攻撃者はデバイスに予約された権限を取得することができます。パッチ未適用のセキュリティ障害は、標準のDropboxインストールに影響します。サービスとして実行されるアップデーターに接続され、プログラムを最新の状態に保つ責任があります。 Dropboxはこの脆弱性にパッチを当てる新しいバージョンをまだリリースしていませんが、一時的なソリューションはマイクロパッチの形で自由に利用できます。

彼らによると、彼らは9月18日に問題をDropboxに通知し、90日間の期間を許可してから公開を終了しました。会社は、10月末までに失敗が知られており、修正プログラムが利用可能になると言って反応します。 Dropboxがより良いバージョンをリリースするまで、暫定的なソリューションは、永続的な公式修正が利用可能になる前に既知の問題のマイクロパッチを提供するプラットフォームである0Patchを介して適用できます。

0patchの背後にあるAcros Security社のCEOであるMitja Kolsekは、この問題をTwitterで説明し、ローカルの低特権の攻撃者がそれを使用して、プロセスによって実行される実行可能ファイルをSYSTEMレベルの権限で置き換えることができると言います。 「問題を分析しながら、最も信頼できる修正方法は、DropBox Updaterからログ書き込みコードを単純に遮断することだと判断しました。これは、DropBoxの機能や更新プロセスに悪影響を与えないようです。ログファイルを空のままにするだけで、DropBoxがユーザーのコンピューターの問題のトラブルシューティングを困難にする可能性があります。 （明らかに、脆弱ではないことはそれよりも勝ります。）-Mitja Kolsek

Decoderは、今週のブログ投稿で、既に侵害されたホストの特権をアップグレードするための欠陥への投資の詳細を提供しています。明らかにする目的は「ツールではなく知識を共有すること」であるため、エクスプロイトコードは配信されません。研究者は、当時の最新製品であるアプリケーションのバージョン87.4.138で権限昇格の欠陥を試みたと述べています。この投稿は執筆中です。悪用の方法と手法は、システム権限で実行される2つのスケジュールされたタスクを持つサービスとしてインストールされるDropboxアップデーターを利用します。