uTorrent可以说是最受欢迎的BitTorrent客户端。该应用程序允许用户连接到对等网络并下载/共享文件。在最近的一系列事件中,发现两个版本的uTorrent容易受到攻击。这项启示由Google Project Zero完成,开发人员已经获悉。
uTorrent漏洞
虽然这些补丁正在进行中,但必须知道漏洞如何让黑客能够控制用于Windows和uTorrent Web的uTorrent桌面应用程序的关键功能。恶意网站可能只是利用此漏洞并将其代码注入Windows Startup文件夹。下次计算机启动时,它会自动运行恶意代码。有了这样的安排,攻击者就可以利用这个漏洞并访问下载的文件和下载历史记录。
BitTorrent的工程副总裁Dave Rees表示,该漏洞已经在uTorrent Windows桌面应用程序的测试版中得到修复,但生产版本还有待完成。
同时,您可以下载已修补的uTorrent / BitTorrent 3.5.3.44352。这个临时安排应该可以正常工作,直到uTorrent发布生产版本的更新/补丁。然而,周二BitTorrent副总裁表示,uTorrent网络已被修补。
“我们强烈建议所有uTorrent网站客户更新到我们网站上提供的最新可用版本0.12.0.502以及应用程序内更新通知。”-Dave Rees,uTorrent。
在Project Zero研究员塔维斯·奥曼迪(Tavis Ormandy)警告说,uTorrent网站上的缺陷仍然没有固定之后,声明就出现了。概念证明漏洞包括uTorrent Web和uTorrent桌面应用程序。它解释了攻击者如何使用通常称为域名系统重新绑定的方法,并使不受信任的互联网域解析运行易受攻击版本的uTorrent应用程序的计算机的本地IP地址。稍后,恶意代码/有效负载将通过域传输,并将在计算机上执行。
我个人会建议uTorrent用户停止使用该应用程序,直到它修复为止。