Дослідники з безпеки Decoder і Кріс Даніелі (Chris Danieli) виявили в Dropbox для Windows уразливість, що дозволяє атакуючим підвищити свої привілеї до рівня системи, і вже створили для неї PoC-експлойт.
Виробник поки не випустив офіційне виправлення для уразливості, але в якості тимчасового рішення користувачі можуть встановити мікрокод, безкоштовно доступний на 0Patch – платформі від компанії Acros Security, де публікуються мікрокоди для виправлення відомих уразливостей до виходу офіційних оновлень.
Як повідомив глава Acros Security, за допомогою уразливості локальний користувач з низькими привілеями може замінити виконуваний файл, запущений процесом з привілеями системи.
“Вивчивши проблему, ми вирішили, що найнадійніший спосіб її виправити – просто відсікти код, відповідальний за запис в журнал подій, від DropBox Updater. Це не повинно торкнутися ні функціональності DropBox, ні процесу оновлення – лог-файл просто буде залишатися порожнім”, – розповів керівник Acros Security.
Less than 48 hours ago, @decoder_it published details of an "arbitrary file overwrite" vulnerability in Dropbox for Windows (no vendor patch available), allowing a local attacker to execute code as System. The issue doesn't have a CVE ID yet, but it now has a FREE micropatch. pic.twitter.com/B9DFGVp8pQ
— 0patch (@0patch) December 20, 2019
Опублікований на 0Patch мікрокод виправляє тільки уразливу частину Dropbox і застосовується в пам’яті, коли система запущена, тому не вимагає її перезавантаження.
До речі, Microsoft припиняє підтримку Windows 7 14 січня 2020 року (у перший Patch day січня 2020 року). Після цієї дати компанія більше не буде випускати оновлення для домашніх користувачів. Організації мають можливість продовжити підтримку до трьох років, сплачуючи Microsoft за пристрій (малий бізнес) або за ліцензію на одного користувача (великий та середній бізнес).
Зверніть увагу, Facebook визнала факт відстеження. Навіть вимкнення “служби визначення місцеположення” не буде захищати користувачів від постійного спостереження з боку компанії, дозволяючи Facebook заробляти більше грошей на рекламі.
Також журналіст газети Washington Post на прикладі власного автомобіля Chevrolet Volt 2017 року продемонстрував, скільки інформації корпорація General Motors отримує від своїх транспортних засобів.
Стало відомо, що Google виправила помилку в Chrome 79, яка минулого тижня спричинила втрату даних для деяких додатків Android.
Компанія Google видалила розширення Avast і AVG з інтернет-магазину Chrome через гучну історію зі збором даних користувачів.