BitTorrent отказывается от сомнительного исправления безопасности uTorrent в последнюю минуту

BitTorrent отказывается от сомнительного исправления безопасности uTorrent в последнюю минуту

Популярным торрент-клиентом, известным как uTorrent, была очень минимальная и легкая программа, но BitTorrent Inc. загрузила ее все больше и больше функций на протяжении многих лет. Согласно Googler Travis Ormandy, одна из особенностей uTorrent оставила пользователей открытыми для серьезной атаки. Орманди предупредил компанию об этом и выразил обеспокоенность тем, что она будет исправлена ​​вовремя для 90-дневного срока раскрытия информации. Патч сейчас идет, но неясно, насколько эффективно будет исправление.

Ormandy является частью проекта Google Zero, команды, посвященной поиску ошибок в программном обеспечении до того, как плохие парни делают это. В рамках своей работы над торрент-клиентами Ormandy в ноябре прошлого года обратилась к BitTorrent Inc с подробностями о серьезной уязвимости удаленного выполнения кода в своем программном обеспечении uTorrent. Уязвимость удаленного выполнения кода - плохая новость, так как она может позволить злоумышленнику полностью завладеть вашей системой. Несмотря на большой интерес, BitTorrent ждал до последней минуты выпуска патча.

Основываясь на демонстрации, предоставленной Ormandy, у uTorrent, похоже, есть ряд DNS-переборов в Windows. Это связано с функцией дистанционного управления программой, которая позволяет владельцу системы управлять потоками из веб-браузера в другом месте. Однако токен аутентификации для этой функции смехотворно легко компрометировать. При этом злоумышленник может установить что-либо на компьютер.

BitTorrent Inc выпустил патч для бета-версии клиента и говорит, что стабильная версия будет исправлена ​​в течение недели. Исправление включает добавление второго токена в веб-интерфейс. Орманди отмечает, что это нарушает его подвиги, но он считает, что этот токен тоже уязвим. Если это так, для кого-то другого может быть просто обновить эксплойт. Он описывает uTorrent как «много ненужной удаленной поверхности атаки».

Я просто исправил эксплойт и подтвердил, что он все еще работает. Я бы порекомендовал просить BitTorrent решить эту проблему, если вы затронуты, и она работает в конфигурации по умолчанию, поэтому вы, вероятно, находитесь. Вздох.

- Тавис Орманди (@taviso) 20 февраля 2018 года

Инженер-разработчик компании Dave Rees говорит, что исправление исправляет проблему, и каждый должен обновить ее. Это здравый совет, но похоже, что Орманди не был уверен в эффективности патча. Если вы продолжите использовать uTorrent, может быть разумно полностью отключить функции удаленного доступа, пока мы не узнаем наверняка, что подпрограммы восстановления DNS были исправлены.

Ormandy пообещала выпустить серию уязвимостей в Torrent-клиентах. Он уже обнаружил подобный недостаток в популярном потоковом клиенте передачи.

Читать далее

Исследователи обнаружили еще один серьезный недостаток безопасности в процессорах Intel
Исследователи обнаружили еще один серьезный недостаток безопасности в процессорах Intel

Исследователи безопасности обнаружили еще один недостаток в процессорах Intel - на этот раз, связанных с технологией Intel Active Management. Еще раз, этот недостаток может быть использован для полного контроля над системой, независимо от любых мер безопасности, которые пользователь может использовать.

Законодатели призывают AT & T сократить связи с Huawei, ссылаясь на проблемы национальной безопасности
Законодатели призывают AT & T сократить связи с Huawei, ссылаясь на проблемы национальной безопасности

Прошло уже несколько лет с момента последнего взрыва, но законодатели США и регуляторы все еще беспокоятся о любом сотрудничестве с Huawei.

2019 Volvo XC40 Обзор: выдающийся субкомпактный кроссовер, тяжелый по безопасности
2019 Volvo XC40 Обзор: выдающийся субкомпактный кроссовер, тяжелый по безопасности

Подкомпактный XC40 завершает линию кроссоверов Volvo. Кабина должна умереть, но не с функциями безопасности Volvo, чтобы умереть. Проверьте оранжевый ковёр Lava.

Проблемы с сертификатами безопасности Отключить все Oculus Rifts [Обновлено]
Проблемы с сертификатами безопасности Отключить все Oculus Rifts [Обновлено]

Если ваша гарнитура Oculus Rift временно не работает, не волнуйтесь. Решение находится в пути, и быстрое изменение даты может вернуть вас на ноги до тех пор.