Dropbox víctima d'una vulnerabilitat dia zero que posa en risc les instal·lacions als equips sota Windows
Ens preocupem cada dia més per la seguretat de les nostres dades i la que ofereixen les aplicacions i eines que utilitzem als nostres equips. Ja sigui via PC o mòbil o en fer ús de plataformes basades en el núvol, estem atents a qualsevol amenaça que pugui sorgir sobre això, amb Facebook o Twitter com a sengles exemples.
Ara és Dropbox, la popular aplicació que permet comptar amb espai al núvol, la que pateix una vulnerabilitat dia zero que encara no ha estat corregidade manera definitiva.Una fallada que pot posar en risc els equips sota Windows que facin ús de Dropbox i per a la qual per ara només hi ha una solució temporal.
Sense pegat definitiu
La decisió en qüestió permet a un atacant el accés a permisos reservats a la carpeta System>, un dels apartats més sensibles del sistema. Una fallada que l&39;actualitzador de Dropbox (DropboxUpdater), que s&39;instal·la com un servei amb dues tasques programades que s&39;executen amb permisos del sistema i que amb les proves dutes a terme pels investigadors, permet obtenir un shell de línia d&39;ordres amb privilegis de SYSTEM."
La decisió va ser notificada a l'empresa, a Dropbox, al setembre, en el termini indicat per a aquests casos, però després de 90 dies encara no hi ha una solucióo no ho han ofert. Només hi ha un comunicat per part de Dropbox referint-se al problema i avisant que treballen en una solució que ha d'arribar a les properes setmanes:
Per ara no hi ha una solució oficial per part de l'empresa i per posar remei, encara que sigui de forma temporal, cal fer ús de solució provisional a través de 0Patch. Es tracta d'una plataforma que ofereix micropegats per a fallades que encara no han estat corregides de forma oficial. En paraules de Mitja Kolsek, CEO de la companyia Acros Security
Aquest pegat és temporal, com ells mateixos avisen. Corregeix només la part vulnerable i fa que no sigui necessari reiniciar l'equip perquè funcioni. No obstant això, es tracta només d'una solució temporal en espera que Dropbox llanci una actualització que es pot fer servir de forma local però que també podria arribar a permetre un atac en cadena.
Font | BleepingComputer.
