网络安全研究员发现,uTorrent Web有个漏洞,会曝露uTorrent服务的认证密钥、计算机纪录文件、设置等其他机密,让网站可接管uTorrent服务
拥有数百万用户的BitTorrent用户端软件uTorrent Windows及Web两个版本被发现有重大漏洞,可能让攻击者得以执行远程代码或拷走用户下载的文件。
两项漏洞是由Google Project Zero安全研究人员Tarvis Ormandy披露并通报BitTorrent。 BitTorrent软件包括uTorrent旨在让用户在开放网络上共享及访问文件。 uTorrent会在用户计算机上架一台服务器,利用BitTorrent协定进行文件分享。
Ormandy指出,uTorrent的Windows及Web版分别是在port 10000及19575创建HTTP RPC服务器,,。任何网站只要用XMLHTTPRequest()指令,就可以开采这些服务器。
他在uTorrent Web及Windows两个版本发现的设计瑕疵,前者曝露uTorrent服务的认证密钥、计算机纪录文件、设置等其他机密,让网站可接管uTorrent服务,后者则让任何网站得以读取及复制用户下载的文件,或者加载恶意程序到Windows启动数据夹,等下次计算机重新开机时自动执行,进行任何想做的事。
Project Zero将这两项漏洞定为重大风险,过程中一度发生BitTorrent修补不完整,使研究人员急着在90天宽限期届满之前联系BitTorrent。幸而现在修复版uTorrent 3.5.3.44352版已开放下载。