Dropbox bietet aktuell zwei Apps für Windows 10 an: Einerseits gibt es einen Desktop-Client, andererseits eine UWP-App im Microsoft Store. Während man die Entwicklung der UWP eingestellt hat, zeigt nun das Desktop-Programm seine Schwächen.
Der Cloud-Speicherdienst verwendet nämlich bei seinem Desktop-Programm einen Updater-Client. Dort haben Sicherheitsforscher nun eine schwere Sicherheitslücke entdeckt. Die ungepatchte Lücke erlaubt Hackern eine Rechteeskalation, womit auch Systemdateien verändert werden können.
Dropbox wurde im September 2019 über die Sicherheitslücke informiert. Dort hat man allerdings nichts unternommen, um den Fehler zu beseitigen. In einem Statement teilte man nur mit, dass diese Lücke „in den kommenden Wochen“ behoben wird. Dieser Fall zeigt allerdings eindeutig, dass besonders die Updater-Clients von Drittanbieter Software einmal mehr ein Einfallstor für Viren sein kann. Es ist immerhin nicht das erste Mal, dass ein fremder Updater kompromittiert wird. Entsprechend sollten solche Konzerne darüber nachdenken, ihre Windows-Programme künftig im Store anzubieten.
Aufgrund ihrer internen Richtlinie haben die Forscher die Zero-Day-Lücke nun allerdings der Öffentlichkeit preisgegeben. Dabei veröffentlichte man nur einige technische Details und kein Proof-of-Concept, das von Angreifern nachgeahmt werden könnte. Dies soll den Druck auf Konzerne erhöhen, Lücken in ihrer Software zu schließen.
[eapi keyword=“B07FZ53VKR“]
Quelle: BleepingComputer
