Vulnerabilità su uTorrent consente esecuzione di malware sul sistema

Due versioni di µTorrent, uno dei client BitTorrent più diffusi in assoluto, sono vulnerabili ad una serie di exploit piuttosto semplici da portare a termine, che consentono agli aggressori di eseguire codice sul sistema, accedere ai file scaricati e alla cronologia dei download. A rivelarlo è un ricercatore di Project Zero, il programma di Google con esperti che analizzano i servizi più diffusi alla ricerca di vulnerabilità di sicurezza. I fix sono in via di sviluppo e in arrivo per entrambe le versioni con bug: l’app desktop per Windows e µTorrent Web.

Secondo quanto riporta Project Zero le vulnerabilità consentirebbero a qualsiasi sito web visitato sul sistema di gestire parti fondamentali dei due servizi menzionati. Ad essere colpiti sono il client ufficiale e la versione “Web”, un’alternativa che utilizza un’interfaccia web controllabile via browser. La vulnerabilità può essere sfruttata da un sito malevolo, che può lanciare il download di codice malevolo all’interno della cartella che Windows usa per stabilire quali applicazioni lanciare all’avvio, con il codice che verrà eseguito al prossimo riavvio.

Qualsiasi sito visitato dall’utente può poi avere accesso ai file scaricati e navigare all’interno della cronologia di download. Contattato dalla stampa estera, Dave Rees di BitTorrent ha dichiarato che il fix per la vulnerabilità è stato già inserito in una versione beta del client desktop non ancora divulgata agli utenti nei canali stabili. La versione con il fix di µTorrent/BitTorrent è la 3.5.3.44352 (link per il download) e sarà diffusa a tutti gli utenti nei prossimi giorni. Anche µTorrent Web ha ricevuto la patch, e la società consiglia di aggiornare al più presto alla 0.12.0.502.

Secondo Tavis Ormandy di Project Zero, il ricercatore che ha scoperto l’exploit, le vulnerabilità sono rimaste e le patch avrebbero sistemato solamente il suo proof-of-concept. Non c’è prova che la vulnerabilità sia stata attivamente sfruttata da siti o servizi web malevoli, tuttavia consigliamo di non utilizzare l’app e il servizio web fino a quando la situazione non viene chiarita da entrambe le parti. È in ogni caso consigliabile scaricare l’ultima versione beta di µTorrent, almeno fino a quando i fix introdotti dalla compagnia non verranno rilasciati anche nel canale stabile di rilascio. (fonte)

You may also like...