西部数据app可导致Windows 和 macOS 提权

214607e8a22d60d17007a9a1ce53ff4a.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

0369336b867d108c93075a3e3d7808c5.png

西部数据(Western Digital)的EdgeRover 桌面 app的Windows 和 Mac 版本易受提权和沙箱逃逸漏洞影响,可导致敏感信息泄露或拒绝服务攻击。

452d7e7b0236b740a12caa66d2e4ef85.png

EdgeRover是西部数据和 SanDisk 产品的中心化内软管理解决方案,在单个管理接口下统一管理多个数字化存储设备。它是一款专有的软件解决方案,旨在提高可用性和舒适性,提供强大的内容搜索、过滤、分类化选项、隐私设置、收集创建、副本检测等功能。

鉴于西部数据是全球最成功的数字化存储产品制造商和零售商之一,因此应该有很多人在使用 EdgeRover 管理数据。

5ff6223ad0bfc0cb20fed4d501d074f9.png

数据暴露问题

该漏洞的编号是CVE-2022-22998,是一个路径遍历漏洞,可导致对受陷目录和文件进行未授权访问。该漏洞的CVSS v3 评分是9.1,被评为“严重”漏洞。

西部数据发布简短的安全公告,并未提供太多的漏洞详情,因此目前尚不清楚该漏洞是否为DLL劫持漏洞可导致本地提权,还是该漏洞可访问低权限数据位置。

不过西部数据建议客户将EdgeRover 桌面应用更新至上周发布的 1.5.1-594或后续版本。

该缺陷由安全研究员 Xavier Danest 发现并负责任地告知厂商。西部数据更正了该文件和目录权限,阻止越权访问和修改。目前尚不清楚该漏洞是否已遭活跃利用。值得注意的是,该漏洞可被用于窃取数据。

媒体收集管理应用可能看似引人注意,尤其是对于需要从多种来源整理数T大小数据的用户而言更是如此。但用户不应忘记每款app都存在自身的安全和隐私风险。

在本案例中是便利性和安全性的冲突,正如CVE-2022-22998漏洞可悲用于泄露用户整个私密媒体和数据集合。因此,建议用户使用操作系统自带的默认文件管理器,并尽可能在系统上尽可能少地使用第三方app。


代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

老旧漏洞不修复,西部数据存储设备数据遭擦除

一年半之后,西部数据 My Cloud NAS 设备验证绕过漏洞仍未修复

西部数据 My Cloud 存储设备又被曝存在两个漏洞 本地攻击者可获取 root 权限

西部数据 “My Cloud” 存储设备中被曝存在 0day 漏洞

原文链接

https://www.bleepingcomputer.com/news/security/western-digital-app-bug-gives-elevated-privileges-in-windows-macos/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

10d0ac6ddf0ce05026b11b2c1ee30147.png

8b30a2f8b6a4324d045c913e1543178b.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   94e7eeb576e5d26c44a61d02c791150f.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值