Статьи

Експерт виявив відразу кілька проблем в клієнтах uTorrent

Спеціаліст Google Project Zero Тевіс Орманді (Tavis Ormandy) виявив відразу кілька проблем в складі нового клієнта uTorrent Web, а також класичного десктопного клієнта uTorrent для Windows. Нагадаю, що в січні 2018 року дослідник повідомив про баг в іншому популярному додатку для роботи з торрентами, Transmission, і пообіцяв продовжити цикл публікацій іншими уразливими, в інших клієнтів.

Знайдені Орманді проблеми дозволяють атакуючим заразити користувачів вразливих клієнтів малваре, а також зібрати інформацію про останні загрузках жертв. Фахівець розповів, що клієнти uTorrent залишають незахищений RPC-сервер на портах 10000 (класичний uTorrent) і 19575 (uTorrent Web). В результаті зловмисники можуть вбудувати в код свого сайту команди для взаємодії з RPC, а потім залишиться лише заманити користувача вразливою версії uTorrent на таку шкідливу сторінку.

Більш того, клієнти схильні до проблеми так званої «перепрівязкі» DNS (DNS rebinding), що дозволяє зловмисникові зробити свої запити до RPC-сервера легітимними.

Більш того, клієнти схильні до проблеми так званої «перепрівязкі» DNS (DNS rebinding), що дозволяє зловмисникові зробити свої запити до RPC-сервера легітимними

Найбільша кількість проблем було знайдено в коді uTorrent Web. За допомогою веб-клієнта можливо повністю перехопити контроль над RPC і самим торрент-клієнтом, завантажити шкідливий на комп'ютер жертви, змінити місце розташування папки для завантаження за замовчуванням. Тобто зловмисник здатний змінити нехай на директорію / Startup, в результаті чого всі завантажені атакуючим шкідливий будуть автоматично виконані при наступному запуску системи.

Також Орманді вважає, що існує можливість перехоплення даних з uTorrent Web, але так як досліднику вдалося домогтися повної компрометації клієнта, він не став вивчати цю проблему окремо.

Класичний клієнт uTorrent, в свою чергу, менш вразливий, він лише дозволяє зловмисникові отримати список останніх завантажених, а також дістатися до самих завантажених файлів, якщо ті ще доступні на диску.

Експерт створив спеціальні proof-of-concept сторінки, що демонструють проблеми в роботі: uTorrent Web і uTorrent .

Розробники BitTorrent Inc. вже представили бета-версію класичного десктопного клієнта ( 3.5.3 Beta ), Де уразливості були усунені. Стабільний реліз очікується в найближчі дні. Виправлення для uTorrent Web так само вже готові, тому користувачам рекомендується оновитися до версії 0.12.0.502 .

Новости

Как оформить группу в вконтакте видео
Дано хотел свой магазин в вк, но не знал с чего начать его делать. Так как хотелось не банальный магазин с кучей ссылок и фото, а красиво оформленный. С меню, с аватаркой. После просмотра видео создал

Как создать видео без программ
Реклама - это один из видов деятельности, который помогает людям продвигать свои товары или услуги. Одним из таких видов рекламы является - раздача листовок или более современное название "флаеров". Раздача