Mercado fechado

Dropbox para Windows tem brecha que aparentemente não pode ser consertada

Claudio Yuge

O Dropbox foi uma das primeiras grandes opções de armazenamento gratuito em nuvem e, embora gigantes como Google, Amazon e Microsoft atualmente dominem esse setor, ele segue como um serviço amplamente utilizado por aí. E isso deixa essa notícia ainda relevante, pois ela pode afetar a segurança do conteúdo de milhões de pessoas: pesquisadores da firma de segurança Decoder encontraram uma vulnerabilidade de dia zero que, aparentemente, não tem correção.

Essa brecha, presente no app para Windows, permite aos invasores obter permissões com privilégios de administrador e está relacionada ao software responsável pela atualização do aplicativo. A descoberta foi realizada no dia 18 de setembro e, antes de trazer a questão a público, o pessoal do Decoder deu ao Dropbox 90 dias para solucionar esse problema. E isso não foi possível até agora justamente porque as raízes dessa brecha estariam ligadas a uma falha na hora da criação dos códigos.

O Dropbox havia prometido um atualização para solucionar o problema no final de outubro, mas, até agora, nada aconteceu. Enquanto isso, há uma solução provisória, que precisa ser aplicada via micropatch do utilitário 0Patch, um software que serve como repositório e distribuidor terceirizado de patches. Segundo a companhia, a correção simplesmente interrompe o atualizador da plataforma.

“Ao analisar o problema, decidimos que a solução mais confiável seria simplesmente cortar o código de gravação de log do DropBox Updater. Isso não parece afetar negativamente a funcionalidade do DropBox ou o processo de atualização — apenas deixa o arquivo de log vazio, potencialmente dificultando ao DropBox manusear problemas no computador do usuário”, explica o CEO Mitja Kolsek, executivo da empresa Acros Security, desenvolvedora do 0Patch.

Vale destacar que esse problema foi encontrado somente em perfis que estavam utilizando o Drobox no Windows 10 — mas é provável que também possa ser explorado em outros sistemas. Então, o jeito, pelo menos por enquanto, é baixar o 0Patch e buscar pelo micropatch no próprio aplicativo.

Fonte: Canaltech

Trending no Canaltech: