Alvorlig bug i udbredt torrent-klient lader websites tage kontrol over din computer

Illustration: Screendump af Proof of Concept
Både uTorrents web-app og selskabets program til Windows er berørt.

Den populære torrent-klient Utorrent har svagheder, der er nemme at udnytte og tillader angriberen at eksekvere kode, tilgå filer og lure i downloadhistorikken på offeret, lyder det fra en sikkerhedsforsker tilknyttet Google’s Project Zero.

Der er både tale om svagheder i uTorrent til Windows og selskabets nyere produkt, uTorrent Web. Det skriver ArsTechnica

Læs også: Sejr til søgemaskiner: Skal ikke tvinges til at blokere for søgninger på torrents

Sårbarheden tillader ethvert website, en bruger af applikationen besøger, at styre en række nøglefunktioner i uTorrent. Det vil gøre det muligt for websites med onde hensigter at hente skadelig kode ned gennem uTorrent-appen ind i Windows startup-folder.

Næste gang computeren startes, eksekveres koden og skaden er sket.

Læs også: Ny fildelingstjeneste er nærmest umulig at lukke for myndighederne

Af mindre alvorlige konsekvenser kan nævnes, at angriberne også kan tilgå downloadhistorikken i uTorrent, og potentielt se om brugeres har downloadet noget ulovligt, samt få adgang til offerets downloadede filer.

uTorrents udviklere har meddelt, at de er i fuld gang med en patch, der skal lukke hullet.

Læs også: HBO sender advarsler ud til Game of Thrones-pirater

I en email til uTorrent skriver BitTorrents tekniske chef, Dave Rees, til ArsTechnica, at fejlen er blvet rettet i en betaversion, der bliver udrullet snarest. Han opfordrer derfor alle uTorrent-brugere til at opdatere til den seneste version af uTorrent, så fixet bliver udrullet til dem automatisk.

Proof of concept

Samme dag som ArsTechnica modtog mailen meddelte sikkerhedsforsker Tavis Ormandy fra Project Zero, at fejlen stadig eksisterer.

Læs også: Efter jagt på Torrent-tjenester: Pirater deler indhold via Google Drive og Google Maps

Hans proof of concept kan findes her, og det er ikke længe siden Ormandy afslørede lignende sårbarheder i uTorrents pendant, BitTorrent.

Indtil hullet officielt er patchet i de tilgængelige apps bør man helt afstå fra at bruge uTorrents aplikationer, skriver ArsTechnica.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017