La aplicación punto a punto de BitTorrent y su contraparte uTorrent son susceptibles a fallas de secuestro particularmente desagradables.
El investigador de Google, Tavis Ormandy, recientemente detalló una gran cantidad de vulnerabilidades de DNS en las versiones de Windows del software que permiten a los atacantes resolver dominios web en la computadora del usuario, esencialmente dando a los intrusos las llaves del reino. Podrían ejecutar código remoto, descargar malware a la carpeta de inicio de Windows (lo que hace que se inicie en el próximo reinicio), tomar los archivos descargados y ver su historial de descargas. Los defectos tocan en todas las versiones sin parches, incluido uTorrent Web.
Afortunadamente, las correcciones están aquí o a la vuelta de la esquina. Aunque Ormandy estaba preocupado por la falta de comunicación después de informar la solución en diciembre, el vicepresidente de ingeniería de BitTorrent, Dave Rees, dijo a Engadget que los defectos en el cliente convencional se han corregido en las versiones beta lanzadas la semana pasada. Aquellos en los lanzamientos estables deberían verlo esta semana. Inicialmente, Ormandy estaba preocupado de que BitTorrent no hubiera solucionado correctamente los problemas de uTorrent Web, pero Rees dijo que ahora hay un parche que debería abordar ese exploit.
«El 4 de diciembre de 2017, nos enteramos de varias vulnerabilidades en los clientes de escritorio de Windows de uTorrent y BitTorrent. Comenzamos a trabajar inmediatamente para resolver el problema. Nuestra solución está completa y está disponible en la versión beta más reciente (compilación 3.5.3.44352 lanzado el 16 de febrero de 2018.) Esta semana, comenzaremos a entregarlo a nuestra base de usuarios instalados. Todos los usuarios serán actualizados con la corrección automáticamente durante los días siguientes. La naturaleza del exploit es tal que un atacante podría crear un URL que provocaría que las acciones se desencadenen en el cliente sin el consentimiento del usuario (por ejemplo, agregar un torrente).
BitTorrent también se dio cuenta ayer de que su nuevo producto beta, uTorrent Web, es vulnerable a un error similar. Este es un producto diferente y no estaba cubierto por las vulnerabilidades originales. El equipo detrás de uTorrent Web lanzó un parche para ese problema ayer y recomendamos encarecidamente a todos los clientes de uTorrent Web que actualicen a la última versión disponible 0.12.0.502 disponible en nuestro sitio web y también a través de la notificación de actualización en la aplicación.
Como siempre, alentamos a todos los clientes a mantenerse siempre actualizados».
Deja un comentario