Dropbox的零日缺陷暂时得到修复

Dropbox是操作系统上特权最高的帐户，具有零日漏洞，因此，攻击者设法获得了保留给设备的权限。未修补的安全故障会影响标准的Dropbox安装。它连接到作为服务运行的更新程序，并负责使程序保持最新。 Dropbox尚未发布修补此漏洞的新版本，但可以以微补丁的形式免费获得临时解决方案。

据他们说，他们于9月18日通知了Dropbox该问题，并允许90天的时间进行公开闭幕。该公司回应说失败者是已知的，并且修复程序将在十月底之前提供。在Dropbox推出更好的版本之前，可以通过0Patch应用临时解决方案，该平台可在永久，正式修复可用之前为已知问题提供微补丁。

Acros Security公司首席执行官Mitja Kolsek在Twitter上描述了该问题，其背后是0patch，他说本地低特权攻击者可以使用它来替换具有SYSTEM级权限的进程运行的可执行文件。 “在分析问题时，我们认为最可靠的解决方法是简单地从DropBox Updater中切断日志编写代码。这似乎对DropBox的功能或更新过程没有负面影响–只是将日志文件留空，可能使DropBox很难解决用户计算机上的问题。 （显然，不是脆弱的人胜过那个。）-Mitja Kolsek

解码器在本周的博客文章中提供了有关投资该漏洞以升级已受到威胁的主机上的特权的详细信息。由于披露的目的是“共享知识，而不是工具”，因此未提供利用代码。研究人员提到他们曾尝试对应用程序的版本87.4.138进行特权升级，该漏洞是当时的最新产品。此帖子正在撰写中。利用的方法和技术利用了Dropbox更新器，该更新器作为具有两个计划任务的服务安装为服务，这些任务以系统权限运行。