Dropbox: Zero-Day-Sicherheitslücke in der Windows-App gefunden

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Sicherheitsforscher haben eine bislang ungefixte Zero-Day-Schwachstelle in der Windows-App des Cloud-Dienstleisters Dropbox gefunden. Über die Sicherheitslücke können Angreifer den PC des Nutzers übernehmen. Ein Patch soll erst in den kommenden Wochen veröffentlicht werden. Die Schwachstelle existiert ausschließlich in der Windows-Anwendung des beliebten Cloud-Services. Es handelt sich um ein Problem mit dem Dienst "DropboxUpdater". Indem be­stim­mte Dateien überschrieben werden, kann ein lokaler Nutzer beliebigen Code mit System-Be­rech­ti­gun­gen ausführen. Der "DropboxUpdater" ist ein Teil des Dropbox-Clients. Der Dienst wird jede Stunde automatisch ausgeführt und arbeitet mit einer Log-Datei, welche in einem un­ge­schütz­ten und von jedem Nutzer überschreibbaren Verzeichnis abgelegt wird.


Die Schwachstelle wurde von zwei Sich­er­heits­for­schern entdeckt. Dabei handelt es sich um Chris Danieli und eine unter dem Nicknamen "Decoder" bekannte Person. Das Problem wur­de bereits am 18. September an Dropbox ge­mel­det. Zudem wurde der Anbieter darüber in­for­miert, dass die Schwachstelle nach 90 Ta­gen veröffentlicht wird, sofern innerhalb dieses Zeit­raums kein Patch zur Verfügung gestellt wird. Da dies offenbar nicht geschehen ist, wur­den die Details zu der Lücke ins Netz gestellt.

Für die Attacke wird ein bestehender Zugriff auf ein Nutzerkonto des PCs benötigt. Dieser kann über einen verketteten Angriff erlangt werden.

So können sich die Nutzer schützen

Laut Bleeping Computer gibt es allerdings eine Möglichkeit, sich gegen die Schwachstelle zu schützen. Die Webseite 0Patch hat einen inoffiziellen Patch, der von Privatkunden kos­ten­los installiert werden kann, bereitgestellt. Dropbox selbst betont, dass der Bug nur unter Umständen ausgenutzt werden kann und ein Patch in den nächsten Wochen ausgerollt wird.

Download Dropbox - Dateien via Cloud teilen und synchronisieren Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren5
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 16:15 Uhr Otha Mini DLP Beamer Projektor 100Ansi LumensOtha Mini DLP Beamer Projektor 100Ansi Lumens
Original Amazon-Preis
229,90
Im Preisvergleich ab
?
Blitzangebot-Preis
168,22
Ersparnis zu Amazon 27% oder 61,68

Tipp einsenden