查看原文
其他

西部数据app可导致Windows 和 macOS 提权

Bill Toulas 代码卫士 2022-11-01

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


西部数据(Western Digital)的EdgeRover 桌面 app的Windows 和 Mac 版本易受提权和沙箱逃逸漏洞影响,可导致敏感信息泄露或拒绝服务攻击。


EdgeRover是西部数据和 SanDisk 产品的中心化内软管理解决方案,在单个管理接口下统一管理多个数字化存储设备。它是一款专有的软件解决方案,旨在提高可用性和舒适性,提供强大的内容搜索、过滤、分类化选项、隐私设置、收集创建、副本检测等功能。

鉴于西部数据是全球最成功的数字化存储产品制造商和零售商之一,因此应该有很多人在使用 EdgeRover 管理数据。


数据暴露问题


该漏洞的编号是CVE-2022-22998,是一个路径遍历漏洞,可导致对受陷目录和文件进行未授权访问。该漏洞的CVSS v3 评分是9.1,被评为“严重”漏洞。

西部数据发布简短的安全公告,并未提供太多的漏洞详情,因此目前尚不清楚该漏洞是否为DLL劫持漏洞可导致本地提权,还是该漏洞可访问低权限数据位置。

不过西部数据建议客户将EdgeRover 桌面应用更新至上周发布的 1.5.1-594或后续版本。

该缺陷由安全研究员 Xavier Danest 发现并负责任地告知厂商。西部数据更正了该文件和目录权限,阻止越权访问和修改。目前尚不清楚该漏洞是否已遭活跃利用。值得注意的是,该漏洞可被用于窃取数据。

媒体收集管理应用可能看似引人注意,尤其是对于需要从多种来源整理数T大小数据的用户而言更是如此。但用户不应忘记每款app都存在自身的安全和隐私风险。

在本案例中是便利性和安全性的冲突,正如CVE-2022-22998漏洞可悲用于泄露用户整个私密媒体和数据集合。因此,建议用户使用操作系统自带的默认文件管理器,并尽可能在系统上尽可能少地使用第三方app。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com





推荐阅读

老旧漏洞不修复,西部数据存储设备数据遭擦除

一年半之后,西部数据 My Cloud NAS 设备验证绕过漏洞仍未修复

西部数据 My Cloud 存储设备又被曝存在两个漏洞 本地攻击者可获取 root 权限

西部数据 “My Cloud” 存储设备中被曝存在 0day 漏洞




原文链接

https://www.bleepingcomputer.com/news/security/western-digital-app-bug-gives-elevated-privileges-in-windows-macos/



题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存