Специалист Google Project Zero нашел в uTorrent-клиентах серьезные уязвимости

Как минимум две версии торрент-клиента uTorrent содержат критические уязвимости, которые можно легко использовать для широкого спектра противоправных действий, таких как удаленное исполнение кода, просмотр файлов и истории загрузок. О дыре в безопасности одного из самых популярных BitTorrent-клиентов рассказал исследователь проекта Google Project Zero Тэвис Орманди.

По словам исследователя, команда разработчиков уже приступила к распространению соответствующих заплаток для обеих уязвимых версий клиента – настольной программы для Windows и новейшего приложения uTorrent Web. Если быть точным, разработчики уже выпустили исправленную бета-версию клиента uTorrent/BitTorrent 3.5.3.44352, которая уже доступна для загрузки на сайте проекта, и обещают начать автоматическое распространение обновления среди пользователей сервиса в ближайшие дни. Также браузерный uTorrent Web был обновлен до версии 0.12.0.502, которая также доступна для загрузки.

Что касается самой уязвимости, достаточно пользователю только зайти на вредоносный сайт, как хакеры смогут получить несанкционированный доступ к файлам через торрент-клиент. Как сообщается, посредством этой уязвимости злоумышленники могут загружать разное вредоносное ПО в системные папки Windows. Кроме того, любой такой сайт с вредоносными скриптами, открытый в браузере, может через торрент-клиент управлять загрузками и просматривать историю скачиваний.

Исследователь безопасности Google, продемонстрировавший работающие эксплоиты для этой уязвимости, посоветовал обязательно установить обновления и не пользоваться старыми версиями программы.