据谷歌Project Zero研究人员的最新信息,每天有数十万活跃用户、最流行的BitTorrent客户端uTorrent存在两个严重漏洞,攻击者可以利用该漏洞远程执行代码、复制下载文件,漏洞影响超过1亿用户。
根据Project Zero的说法,该漏洞存在于Web界面中,允许用户远程控制BitTorrent客户端,恶意网站构成的最大威胁是,攻击者利用这个漏洞将恶意代码下载到Windows启动文件夹中,并在下次启动计算机时自动运行该文件夹,从而可查看用户访问的任何网站或下载浏览历史,控制易受攻击的计算机。
图注:uTorrent PoC漏洞利用截屏
然而,软件的开发者表示,它已经准备好了一个补丁程序,该补丁程序是最新beta版本的一部分,根据TorrentFreak的一份报告,它预计将在本周尽快推向稳定渠道。如下,BitTorrent发布的官方声明:
“2017年12月4日,我们意识到uTorrent和BitTorrent Windows桌面客户端存在几个漏洞。我们立即着手解决这个问题。我们的修复程序已完成,可在最新的测试版(2018年2月16日发布,版本为3.5.3.44352)中提供。本周,我们将开始将其交付给我们的用户群。所有用户将在接下来的几天内自动更新修复程序。漏洞利用的本质是,攻击者可以制作一个URL,在未经用户同意的情况下,触发客户端的操作。”
但事实证明,与Ormandy共享的修补程序只覆盖原始漏洞,而不能完全解决漏洞。看起来BitTorrent只是给uTorrent Web添加了第二个令牌。目前,BitTorrent 尚未提供更新的声明,以分享计划发布新补丁程序的方式和时间。
本文暂时没有评论,来添加一个吧(●'◡'●)