Windows的Dropbox有一个不固定的零日漏洞
安全公司解码器的研究人员在Windows应用程序的Dropbox中发现了零日漏洞。
该漏洞位于软件的DROPBOXUPDATER服务中,是本地特权升级漏洞,允许攻击者重写系统目录中的文件。一旦妥协,研究人员就能够获得具有系统特权的命令行shell。
该团队已在九月通知了Dropbox的漏洞,但90天后,该公司尚未解决这个问题。
在Dropbox的一份声明中证实:
Dropbox发言人说:“我们通过我们的Bug赏金计划了解了这个问题,并将在未来几周内推出一个修复方案。”这个bug只能在有限的情况下使用,我们还没有收到任何关于该漏洞影响用户的报告。
攻击还需要本地用户,但可以很容易地用作链攻击的一部分。