ช่องโหว่บน Zero-Day บน Dropbox สามารถแก้ไขได้แล้วแม้ยังไม่ออก patch ใหม่
27 ธ.ค. 62 14:28 น. /
ดู 5,425 ครั้ง /
1 ความเห็น /
0 ชอบจัง
/
แชร์
ช่องโหว่บน Zero-Day บน Dropbox สามารถแก้ไขได้แล้วแม้ยังไม่ออก patch ใหม่
3.all-in-one-726x1024
ช่องโหว่บน Zero Day ของ Dropobox สำหรับ Windows นั้นจะส่งผลให้ผู้โจมตีได้รับสิทธิ์ที่มีการสงวนไว้ในระบบ ซึ่งเป็นบัญชีที่มีสิทธิพิเศษที่สุดในระบบปฏิบัติการ
นักวิจัยด้านความปลอดภัยนาม Decoder และ Chris Danieli เป็นผู้ค้นพบช่องโหว่และสร้าง proof-of-concept exploit code เพื่อพิสูจน์ความถูกต้องของผลการวิจัย
พวกเขาบอกว่าพวกเขาแจ้ง Dropbox เกี่ยวกับปัญหาเมื่อวันที่ 18 กันยายนและอนุญาตให้ใช้ระยะเวลา 90 วันก่อนที่จะทำการเปิดเผยต่อสาธารณะ ในตอนนี้จนกว่า Dropbox จะมีการออกเวอร์ชั่นปรับปรุงเพื่อแก้ไขปัญหาที่เกิดขึ้น
โดยตอนนี้สามารถใช้ 0Patch ซึ่งเป็นแพลตฟอร์มที่ส่งมอบ micropatches สำหรับปัญหาที่ทราบก่อนที่จะมีการแก้ไขอย่างเป็นทางการถาวร โค้ดเล็ก ๆ เหล่านี้แก้ไขเฉพาะส่วนที่มีช่องโหว่และถูกนำไปใช้ในหน่วยความจำขณะที่ระบบกำลังทำงานดังนั้นจึงสามารถทำงานได้ปกติโดยไม่ต้องรีบูตเครื่อง
นักวิจัยกล่าวว่าพวกเขาทดสอบช่องโหว่การเพิ่มระดับสิทธิพิเศษในเวอร์ชัน 87.4.138 ของซอฟต์แวร์ซึ่งเป็นรุ่นล่าสุดในขณะที่เริ่มทดสอบ
นักวิจัยทั้งสองพบว่าdropboxupdate service เขียนไฟล์logไปยัง C: \ ProgramData \ Dropbox \ Update \ Log ซึ่งเป็นพาธที่ผู้ใช้ที่ไม่ใช่สิทธิ์สูงได้รับอนุญาตให้ add, overwrite, และ delete files.
อ่านเพิ่มเติมคลิกที่นี้
ทดสอบเจาะระบบ ความปลอดภัยทางไซเบอร์
คลิกอ่านเพิ่มเติมได้ที่ https://www.sosecure.co.th/
ช่องโหว่บน Zero Day ของ Dropobox สำหรับ Windows นั้นจะส่งผลให้ผู้โจมตีได้รับสิทธิ์ที่มีการสงวนไว้ในระบบ ซึ่งเป็นบัญชีที่มีสิทธิพิเศษที่สุดในระบบปฏิบัติการ
นักวิจัยด้านความปลอดภัยนาม Decoder และ Chris Danieli เป็นผู้ค้นพบช่องโหว่และสร้าง proof-of-concept exploit code เพื่อพิสูจน์ความถูกต้องของผลการวิจัย
พวกเขาบอกว่าพวกเขาแจ้ง Dropbox เกี่ยวกับปัญหาเมื่อวันที่ 18 กันยายนและอนุญาตให้ใช้ระยะเวลา 90 วันก่อนที่จะทำการเปิดเผยต่อสาธารณะ ในตอนนี้จนกว่า Dropbox จะมีการออกเวอร์ชั่นปรับปรุงเพื่อแก้ไขปัญหาที่เกิดขึ้น
โดยตอนนี้สามารถใช้ 0Patch ซึ่งเป็นแพลตฟอร์มที่ส่งมอบ micropatches สำหรับปัญหาที่ทราบก่อนที่จะมีการแก้ไขอย่างเป็นทางการถาวร โค้ดเล็ก ๆ เหล่านี้แก้ไขเฉพาะส่วนที่มีช่องโหว่และถูกนำไปใช้ในหน่วยความจำขณะที่ระบบกำลังทำงานดังนั้นจึงสามารถทำงานได้ปกติโดยไม่ต้องรีบูตเครื่อง
นักวิจัยกล่าวว่าพวกเขาทดสอบช่องโหว่การเพิ่มระดับสิทธิพิเศษในเวอร์ชัน 87.4.138 ของซอฟต์แวร์ซึ่งเป็นรุ่นล่าสุดในขณะที่เริ่มทดสอบ
นักวิจัยทั้งสองพบว่าdropboxupdate service เขียนไฟล์logไปยัง C: \ ProgramData \ Dropbox \ Update \ Log ซึ่งเป็นพาธที่ผู้ใช้ที่ไม่ใช่สิทธิ์สูงได้รับอนุญาตให้ add, overwrite, และ delete files.
อ่านเพิ่มเติมคลิกที่นี้
ทดสอบเจาะระบบ ความปลอดภัยทางไซเบอร์
คลิกอ่านเพิ่มเติมได้ที่ https://www.sosecure.co.th/
เลขไอพี : ไม่แสดง
| ตั้งกระทู้โดย Windows 10
อ่านต่อ คุณอาจจะสนใจเนื้อหาเหล่านี้ (ความคิดเห็นกระทู้ อยู่ด้านล่าง)
ความคิดเห็น
ยังไม่มีความคิดเห็น
จะต้องเป็นสมาชิกจึงจะแสดงความคิดเห็นได้
เป็นสมาชิกอยู่แล้ว ลงชื่อเข้าใช้ระบบ
ยังไม่ได้เป็นสมาชิก สมัครสมาชิกใหม่
หรือจะลงชื่อเข้าใช้ระบบด้วย Google หรือ Facebook ก็ได้
ลงชื่อเข้าใช้ระบบด้วย Facebook
ลงชื่อเข้าใช้ระบบด้วย Google
เป็นสมาชิกอยู่แล้ว ลงชื่อเข้าใช้ระบบ
ยังไม่ได้เป็นสมาชิก สมัครสมาชิกใหม่
หรือจะลงชื่อเข้าใช้ระบบด้วย Google หรือ Facebook ก็ได้
ลงชื่อเข้าใช้ระบบด้วย Facebook
ลงชื่อเข้าใช้ระบบด้วย Google