خدمات پشتيباني ويپآسيب پذيري مورد بحث در بخش DropboxUpdater نرم افزار قرار داشته و از نوع ترفيع امتيازي محلي (local privilege escalation) است كه به هكرها اجازه مي دهد روي فايل هاي دايركتوري System عمليات نوشتن را انجام دهند.
محققان امنيتي شركت ياد شده موفق شدند به كمك اين آسيب پذيري صفحه شل (Shell) را با اختيارات SYSTEM اجرا كنند. آنها اين آسيب پذيري را ماه سپتامبر به دراپ باكس گزارش داده اند ولي پس از گذشت 90 روز، اين شركت هنوز آسيب پذيري را رفع نكرده است.
كمپاني دراپ باكس با انتشار بيانيه اي، اين آسيب پذيري را تاييد كرد:
«از طريق برنامه شكار باگ خود از اين آسيب پذيري باخبر شديم و در هفته هاي آتي اپليكيشن را به روز رساني خواهيم كرد. اين باگ تنها در مواردي خاص مي تواند مشكل ساز باشد و تاكنون هيچ گونه گزارشي در مورد اثرگذاري اين آسيب پذيري روي كاربران دريافت نكرده ايم.»
خوشبختانه هكرها براي بهره برداري از اين آسيب پذيري به يوزر لوكال نياز دارند، كه امكان سوء استفاده از آن در بسياري از سناريوها را از بين مي برد. البته اين به معناي بي خطر بودن اين آسيب پذيري نيست و همچنان مي توان از آن به عنوان بخشي از حمله زنجيره اي استفاده كرد.
به گزارش سايت Bleeping Computer، سايتي به نام 0Patch يك پچ توسعه داده كه به طور موقتي آسيب پذيري دراپ باكس را رفع مي كند.
منبع: