Dropbox周二(5/6)修補了一個檔案分享漏洞,該漏洞讓沒有存取權限的外部網站使用者也能夠讀取到檔案。
Dropbox讓使用者可將其Dropbox線上硬碟的檔案或資料匣連結分享給其他人,獲得分享授權的對方只要按下連結,就可存取這份檔案或資料匣。然而Dropbox指出,該服務出現一項漏洞,讓並非原定分享的第三方網站用戶可以看到檔案內容。
該漏洞發生於網路常見的參照網址標頭(referer header),這種機制讓網站可以追蹤到造訪者的來源位址。Dropbox的漏洞問題出在,若用戶用以連結分享的檔案包含連向第三方網站的超連結,獲得分享的使用者點入這條超連結後,第三方網站就能接獲參照位址標頭,因此讓第三方網站有權限讀取標頭資訊的人,例如網站管理員,就能藉以存取共享的文件。
Dropbox表示已經修補了這項漏洞,並將之前共享的連結全部關閉,其中安全無虞的連結未來幾天會再度開放。連結已遭關閉的用戶,過渡期可重新製作新連結。未來新建的連結則不用擔心。而購買企業版服務的用戶(Dropbox for Business)則可以限制只有企業版服務團隊的人才能存取共享連結,至於原本即設定存取控管的連結也不受影響。Dropbox並指出目前尚未得知有任何攻擊該漏洞的情形。
另一方面,Dropbox在最新更新中指出,事後有使用者反應其他的共享連結問題。Dropbox認為那是使用者在搜尋引擎中輸入共享連結之後,搜尋引擎將該連結傳送給廣告夥伴。對此,Dropbox表示這不是一項漏洞,但呼籲使用者將連結分享給第三方單位,包括搜尋引擎時務必要小心。(編譯/林妍溱)
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
Advertisement