早在今年1月,Google Project Zero研究员Tavis Ormandy就披露了BitTorrent应用程序传输中的一个漏洞,并解释其他客户端也可能存在类似的问题。
在本周的一份新报告中,Ormandy在uTorrent中发现了类似的安全漏洞,这是目前最受欢迎的BitTorrent客户端之一。
这个问题在11月份向BitTorrent报告,但正如安全研究人员所预测的那样,这家母公司未能在90天的窗口中发布补丁,以解决在Project Zero项目中发现的bug,因此本周公布了相关细节。
该漏洞存在于Web界面中,允许用户远程控制BitTorrent客户端,如果被利用,它可能使攻击者能够控制易受攻击的计算机。
漏洞未在最新测试版中修复
然而,这家开发中的公司表示,它已经准备好了一个补丁程序,该补丁程序是最新beta版本的一部分,根据TorrentFreak的一份报告,它预计将在本周尽快推向稳定渠道。
但事实证明,与Ormandy共享的修补程序只会使原始漏洞无用,而不能完全解决漏洞。
“看起来像BitTorrent只是给uTorrent Web添加了第二个令牌。这并没有解决DNS重新绑定问题,它只是打破了我的利用,“Ormandy在Twitter上解释说。 “它只是修复了漏洞并验证了它仍然有效。如果您受到影响,我会建议让BitTorrent解决此问题,并且它在默认配置下工作,因此您可能是这样。“
BitTorrent尚未提供更新的声明来分享关于如何以及何时计划发布一个新补丁的新细节,但现在已公开漏洞信息,公司应该尽快做到这一点。最新的uTorrent更新于2月17日发布到版本3.5.3 Build 44352 Beta。最新的稳定更新日期为12月24日 - 版本3.5.1 Build 44332。