研究人员在Synology云同步应用中发现了漏洞,该漏洞可让攻击者完全控制苹果OS X系统。
该漏洞被发现存在于Synology公司针对OS X的Cloud Station客户端中。Cloud Station应用允许用户通过云计算在多种设备(例如电脑、智能手机和平板电脑)之间同步文件。然而,根据卡内基梅隆大学软件工程研究所计算机应急响应小组(CERT)研究表明,该产品的OS X云同步客户端功能存在一个默认权限漏洞,允许用户更改已连接设备中系统文件的所有权,并获取对这些设备的完全控制权。
CERT在公告中称:“本地标准OS X用户可能获得任意系统文件的所有权,这可能被利用来获取root权限,并完全感染主机。”
在通用安全漏洞评分系统,CERT将这个Synology漏洞评为6.8分,这意味着“中等威胁”。7.0到10.0分的漏洞则为“严重威胁”。
对此,Synology公司发布了新版本的客户端来修复该漏洞,该漏洞影响着1.1-2291和3.1-3320版本之间的Cloud Station同步客户端。CERT建议Cloud Station用户尽快更新其客户端到3.2-3475或更高版本。
台湾存储供应商Synology公司在2012年推出针对Macintosh系统的Cloud Station。该产品作为公共云存储服务(例如Dropbox和Google Drive等)的替代品,它允许用户通过Synology NSA设备创建自己的私有云,并可通过Cloud Station客户端跨多种设备进行安全的数据同步。
除了这个Cloud Station漏洞,Synology还修复了其Photo Station应用中的另一个漏洞。德国软件安全公司Securify发现了这个命令注入漏洞,该漏洞允许恶意攻击者感染Synology的DiskStation NSA系统。Synology为Photo Station发布了更新,并建议用户更新该应用到6.3-2945版本以修复该漏洞。