Google нашла уязвимость в uTorrent

22.02.2018 |

Александр Абрамов.

В январе исследователь Тавис Орманди из Google Project Zero обнаружил уязвимость в приложении BitTorrent Transmission. По его словам, похожая проблема может существовать и в других торрент-клиентах. Теперь сообщается, что Орманди нашёл похожую уязвимость в системе безопасности программы uTorrent, которая в данный момент является одним из наиболее популярных BitTorrent-клиентов на персональных компьютерах.

О наличии проблемы BitTorrent было сообщено ещё в ноябре, но как и предсказывал исследователь, компания не выпустила обновления в отведённый 90-дневный срок. Именно такой период даётся в рамках Project Zero на выпуск патча, прежде чем информация об уязвимости будет опубликована.

Уязвимость находится в веб-интерфейсе, который позволяет пользователям управлять клиентом BitTorrent дистанционно. Если задействовать её, злоумышленник может получить доступ к компьютеру.

Разработчики приложения утверждают, что уже подготовили патч и он доступен в рамках программы бета-тестирования. Информация с TorrentFreak утверждает, что его появление в стабильном канале должно было состояться на этой неделе.

Как оказалось, этот патч закрывает только оригинальный эксплоит, а не всю уязвимость целиком. По словам Орманди, BitTorrent добавила второй токен в uTorrent Web. Это не решает проблему с перевязыванием DNS, а только лишает работоспособности эксплоит Орманди.

BitTorrent пока не выпускает новых заявлений относительно того, когда ожидать нормальный патч. Теперь уязвимость стала публично известной, поэтому разработчикам следует поторопиться. Последняя версия uTorrent была опубликована 17 февраля, ей стала 3.5.3 Build 44352 Beta. Последняя стабильная версия вышла 24 декабря — 3.5.1 Build 44332.