Sicherheitsforscher haben eine bislang ungefixte Zero-Day-Schwachstelle in der Windows-App des Cloud-Dienstleisters Dropbox gefunden. Über die Sicherheitslücke können Angreifer den PC des Nutzers übernehmen. Ein Patch soll erst in den kommenden Wochen veröffentlicht werden.
Die Schwachstelle existiert ausschließlich in der Windows-Anwendung des beliebten Cloud-Services. Es handelt sich um ein Problem mit dem Dienst "DropboxUpdater". Indem bestimmte Dateien überschrieben werden, kann ein lokaler Nutzer beliebigen Code mit System-Berechtigungen ausführen. Der "DropboxUpdater" ist ein Teil des Dropbox-Clients. Der Dienst wird jede Stunde automatisch ausgeführt und arbeitet mit einer Log-Datei, welche in einem ungeschützten und von jedem Nutzer überschreibbaren Verzeichnis abgelegt wird.
Die Schwachstelle wurde von zwei Sicherheitsforschern entdeckt. Dabei handelt es sich um Chris Danieli und eine unter dem Nicknamen "Decoder" bekannte Person. Das Problem wurde bereits am 18. September an Dropbox gemeldet. Zudem wurde der Anbieter darüber informiert, dass die Schwachstelle nach 90 Tagen veröffentlicht wird, sofern innerhalb dieses Zeitraums kein Patch zur Verfügung gestellt wird. Da dies offenbar nicht geschehen ist, wurden die Details zu der Lücke ins Netz gestellt.
Für die Attacke wird ein bestehender Zugriff auf ein Nutzerkonto des PCs benötigt. Dieser kann über einen verketteten Angriff erlangt werden.
So können sich die Nutzer schützen
Laut Bleeping Computer gibt es allerdings eine Möglichkeit, sich gegen die Schwachstelle zu schützen. Die Webseite 0Patch hat einen inoffiziellen Patch, der von Privatkunden kostenlos installiert werden kann, bereitgestellt. Dropbox selbst betont, dass der Bug nur unter Umständen ausgenutzt werden kann und ein Patch in den nächsten Wochen ausgerollt wird.
Anmelden
Sicherheitsforscher haben eine bislang ungefixte Zero-Day-Schwachstelle in der Windows-App des Cloud-Dienstleisters Dropbox gefunden. Über die Sicherheitslücke können Angreifer den PC des Nutzers übernehmen. Ein Patch soll erst in den kommenden Wochen veröffentlicht werden.
Die Schwachstelle existiert ausschließlich in der Windows-Anwendung des beliebten Cloud-Services. Es handelt sich um ein Problem mit dem Dienst "DropboxUpdater". Indem bestimmte Dateien überschrieben werden, kann ein lokaler Nutzer beliebigen Code mit System-Berechtigungen ausführen. Der "DropboxUpdater" ist ein Teil des Dropbox-Clients. Der Dienst wird jede Stunde automatisch ausgeführt und arbeitet mit einer Log-Datei, welche in einem ungeschützten und von jedem Nutzer überschreibbaren Verzeichnis abgelegt wird.
