ช่องโหว่บน Zero-Day บน Dropbox สามารถแก้ไขได้แล้วแม้ยังไม่ออก patch ใหม่

ช่องโหว่บน Zero – Day ของ Dropobox สำหรับ Windows นั้นจะส่งผลให้ผู้โจมตีได้รับสิทธิ์ที่มีการสงวนไว้ในระบบ ซึ่งเป็นบัญชีที่มีสิทธิพิเศษที่สุดในระบบปฏิบัติการ นักวิจัยด้านความปลอดภัยนาม Decoder และ Chris Danieli เป็นผู้ค้นพบช่องโหว่และสร้าง proof-of-concept exploit code  เพื่อพิสูจน์ความถูกต้องของผลการวิจัย พวกเขาบอกว่าพวกเขาแจ้ง Dropbox เกี่ยวกับปัญหาเมื่อวันที่ 18 กันยายนและอนุญาตให้ใช้ระยะเวลา 90 วันก่อนที่จะทำการเปิดเผยต่อสาธารณะ  ในตอนนี้จนกว่า Dropbox จะมีการออกเวอร์ชั่นปรับปรุงเพื่อแก้ไขปัญหาที่เกิดขึ้น โดยตอนนี้สามารถใช้ 0Patch ซึ่งเป็นแพลตฟอร์มที่ส่งมอบ micropatches สำหรับปัญหาที่ทราบก่อนที่จะมีการแก้ไขอย่างเป็นทางการถาวร โค้ดเล็ก ๆ เหล่านี้แก้ไขเฉพาะส่วนที่มีช่องโหว่และถูกนำไปใช้ในหน่วยความจำขณะที่ระบบกำลังทำงานดังนั้นจึงสามารถทำงานได้ปกติโดยไม่ต้องรีบูตเครื่อง นักวิจัยกล่าวว่าพวกเขาทดสอบช่องโหว่การเพิ่มระดับสิทธิพิเศษในเวอร์ชัน 87.4.138 ของซอฟต์แวร์ซึ่งเป็นรุ่นล่าสุดในขณะที่เริ่มทดสอบ นักวิจัยทั้งสองพบว่า’dropboxupdate’ service  เขียนไฟล์logไปยัง ‘C: \ ProgramData \ Dropbox \ Update…
Read More