擁有數百萬用戶的BitTorrent用戶端軟體uTorrent Windows及Web兩個版本被發現有重大漏洞,可能讓攻擊者得以執行遠端程式碼或拷走用戶下載的檔案。
兩項漏洞是由Google Project Zero安全研究人員Tarvis Ormandy揭露並通報BitTorrent。BitTorrent軟體包括uTorrent旨在讓用戶在開放網路上共享及存取檔案。uTorrent會在用戶電腦上架一台伺服器,利用BitTorrent協定進行檔案分享。
Ormandy指出,uTorrent的Windows及Web版分別是在port 10000及19575建立HTTP RPC伺服器,,。任何網站只要用XMLHTTPRequest()指令,就可以開採這些伺服器。
他在uTorrent Web及Windows兩個版本發現的設計瑕疵,前者曝露uTorrent服務的認證密鑰、電腦紀錄檔、設定等其他機密,讓網站可接管uTorrent服務,後者則讓任何網站得以讀取及複製用戶下載的檔案,或者載入惡意程式到Windows啟動資料夾,等下次電腦重新開機時自動執行,進行任何想做的事。
Project Zero將這兩項漏洞定為重大風險,過程中一度發生BitTorrent修補不完整,使研究人員急著在90天寬限期屆滿之前聯絡BitTorrent。幸而現在修復版uTorrent 3.5.3.44352版已開放下載。
新聞來源網站ithome
修復版 uTorrent 3.5.3.44352版
