ช่องโหว่บน Zero-Day บน Dropbox สามารถแก้ไขได้แล้วแม้ยังไม่ออก patch ใหม่
ช่องโหว่บน Zero – Day ของ Dropobox สำหรับ Windows นั้นจะส่งผลให้ผู้โจมตีได้รับสิทธิ์ที่มีการสงวนไว้ในระบบ ซึ่งเป็นบัญชีที่มีสิทธิพิเศษที่สุดในระบบปฏิบัติการ
นักวิจัยด้านความปลอดภัยนาม Decoder และ Chris Danieli เป็นผู้ค้นพบช่องโหว่และสร้าง proof-of-concept exploit code เพื่อพิสูจน์ความถูกต้องของผลการวิจัย
พวกเขาบอกว่าพวกเขาแจ้ง Dropbox เกี่ยวกับปัญหาเมื่อวันที่ 18 กันยายนและอนุญาตให้ใช้ระยะเวลา 90 วันก่อนที่จะทำการเปิดเผยต่อสาธารณะ ในตอนนี้จนกว่า Dropbox จะมีการออกเวอร์ชั่นปรับปรุงเพื่อแก้ไขปัญหาที่เกิดขึ้น
โดยตอนนี้สามารถใช้ 0Patch ซึ่งเป็นแพลตฟอร์มที่ส่งมอบ micropatches สำหรับปัญหาที่ทราบก่อนที่จะมีการแก้ไขอย่างเป็นทางการถาวร โค้ดเล็ก ๆ เหล่านี้แก้ไขเฉพาะส่วนที่มีช่องโหว่และถูกนำไปใช้ในหน่วยความจำขณะที่ระบบกำลังทำงานดังนั้นจึงสามารถทำงานได้ปกติโดยไม่ต้องรีบูตเครื่อง
นักวิจัยกล่าวว่าพวกเขาทดสอบช่องโหว่การเพิ่มระดับสิทธิพิเศษในเวอร์ชัน 87.4.138 ของซอฟต์แวร์ซึ่งเป็นรุ่นล่าสุดในขณะที่เริ่มทดสอบ
นักวิจัยทั้งสองพบว่า’dropboxupdate’ service เขียนไฟล์logไปยัง ‘C: \ ProgramData \ Dropbox \ Update \ Log’ ซึ่งเป็นพาธที่ผู้ใช้ที่ไม่ใช่สิทธิ์สูงได้รับอนุญาตให้ add, overwrite, และ delete files.
อ่านเพิ่มเติมได้ที่ http://www.sosecure.co.th