百萬BT網友要小心,uTorrent軟體漏洞可使惡意網站取得電腦控制權、竊取資料

百萬BT網友要小心,uTorrent軟體漏洞可使惡意網站取得電腦控制權、竊取資料 資安研究員發現,uTorrent Web有個漏洞,會曝露uTorrent服務的認證密鑰、電腦紀錄檔、設定等其他機密,讓網站可接管uTorrent服務 文/林妍溱 | 2018-02-22發表 擁有數百萬用戶的BitTorrent用戶端軟體uTorrent Windows及Web兩個版本被發現有重大漏洞,可能讓攻擊者得以執行遠端程式碼或拷走用戶下載的檔案。兩項漏洞是由Google Project Zero安全研究人員Tarvis Ormandy揭露並通報BitTorrent。BitTorrent軟體包括uTorrent旨在讓用戶在開放網路上共享及存取檔案。uTorrent會在用戶電腦上架一台伺服器,利用BitTorrent協定進行檔案分享。Ormandy指出,uTorrent的Windows及Web版分別是在port 10000及19575建立HTTP RPC伺服器,,。任何網站只要用XMLHTTPRequest()指令,就可以開採這些伺服器。他在uTorrent Web及Windows兩個版本發現的設計瑕疵,前者曝露uTorrent服務的認證密鑰、電腦紀錄檔、設定等其他機密,讓網站可接管uTorrent服務,後者則讓任何網站得以讀取及複製用戶下載的檔案,或者載入惡意程式到Windows啟動資料夾,等下次電腦重新開機時自動執行,進行任何想做的事。Project Zero將這兩項漏洞定為重大風險,過程中一度發生BitTorrent修補不完整,使研究人員急著在90天寬限期屆滿之前聯絡BitTorrent。幸而現在修復版uTorrent 3.5.3.44352版已開放下載。 iThome Security

更多訊息更多資料都在這裡喔!~~~~~~~~~~~~~~~~~~

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *