Dropbox: Zero-Day-Sicherheitslücke in der Windows-App gefunden

Sicherheitsforscher haben eine bislang ungefixte Zero-Day-Schwachstelle in der Windows-App des Cloud-Dienstleisters Dropbox gefunden. Über die Sicherheitslücke können Angreifer den PC des Nutzers übernehmen. Ein Patch soll erst in den kommenden Wochen veröffentlicht werden. Die Schwachstelle existiert ausschließlich in der Windows-Anwendung des beliebten Cloud-Services. Es handelt sich um ein Problem mit dem Dienst "DropboxUpdater". Indem be­stim­mte Dateien überschrieben werden, kann ein lokaler Nutzer beliebigen Code mit System-Be­rech­ti­gun­gen ausführen. Der "DropboxUpdater" ist ein Teil des Dropbox-Clients. Der Dienst wird jede Stunde automatisch ausgeführt und arbeitet mit einer Log-Datei, welche in einem un­ge­schütz­ten und von jedem Nutzer überschreibbaren Verzeichnis abgelegt wird.


Die Schwachstelle wurde von zwei Sich­er­heits­for­schern entdeckt. Dabei handelt es sich um Chris Danieli und eine unter dem Nicknamen "Decoder" bekannte Person. Das Problem wur­de bereits am 18. September an Dropbox ge­mel­det. Zudem wurde der Anbieter darüber in­for­miert, dass die Schwachstelle nach 90 Ta­gen veröffentlicht wird, sofern innerhalb dieses Zeit­raums kein Patch zur Verfügung gestellt wird. Da dies offenbar nicht geschehen ist, wur­den die Details zu der Lücke ins Netz gestellt.

Für die Attacke wird ein bestehender Zugriff auf ein Nutzerkonto des PCs benötigt. Dieser kann über einen verketteten Angriff erlangt werden.

So können sich die Nutzer schützen

Laut Bleeping Computer gibt es allerdings eine Möglichkeit, sich gegen die Schwachstelle zu schützen. Die Webseite 0Patch hat einen inoffiziellen Patch, der von Privatkunden kos­ten­los installiert werden kann, bereitgestellt. Dropbox selbst betont, dass der Bug nur unter Umständen ausgenutzt werden kann und ein Patch in den nächsten Wochen ausgerollt wird.

Download Dropbox Download - Dateisynchronisation für die Cloud Sicherheit, Sicherheitslücken, schloss, Kette, Abus Sicherheit, Sicherheitslücken, schloss, Kette, Abus John Dierckx / Flickr
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 01:34 Uhr Mini PC AMD Ryzen 5 3400GE | 16 GB RAM 512 GB M.2 PCIe SSD | Radeon Vega 11 Graphics | Windows 10 Pro | Intel Wifi6 AX200 BT 5.1 | 4K HDMI 2.0, DisplayPort | 2X RJ45 | 4X USB 3.0 | Small Form FactorMini PC AMD Ryzen 5 3400GE | 16 GB RAM 512 GB M.2 PCIe SSD | Radeon Vega 11 Graphics | Windows 10 Pro | Intel Wifi6 AX200 BT 5.1 | 4K HDMI 2.0, DisplayPort | 2X RJ45 | 4X USB 3.0 | Small Form Factor
Original Amazon-Preis
599,99
Im Preisvergleich ab
559,99
Blitzangebot-Preis
509,99
Ersparnis zu Amazon 15% oder 90
Im WinFuture Preisvergleich

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!