Brutta vulnerabilità su uTorrent consente l'esecuzione di malware sul sistema

Brutta vulnerabilità su uTorrent consente l'esecuzione di malware sul sistema

Una falla di sicurezza trovata sul client BitTorrent consente ad un utente malintenzionato di ottenere il controllo del computer e di rubare i download

di pubblicata il , alle 15:01 nel canale Web
 

Due versioni di µTorrent, uno dei client BitTorrent più diffusi in assoluto, sono vulnerabili ad una serie di exploit piuttosto semplici da portare a termine, che consentono agli aggressori di eseguire codice sul sistema, accedere ai file scaricati e alla cronologia dei download. A rivelarlo è un ricercatore di Project Zero, il programma di Google con esperti che analizzano i servizi più diffusi alla ricerca di vulnerabilità di sicurezza. I fix sono in via di sviluppo e in arrivo per entrambe le versioni con bug: l'app desktop per Windows e µTorrent Web.

Secoondo quanto riporta Project Zero le vulnerabilità consentirebbero a qualsiasi sito web visitato sul sistema di gestire parti fondamentali dei due servizi menzionati. Ad essere colpiti sono il client ufficiale e la versione "Web", un'alternativa che utilizza un'interfaccia web controllabile via browser. La vulnerabilità può essere sfruttata da un sito malevolo, che può lanciare il download di codice malevolo all'interno della cartella che Windows usa per stabilire quali applicazioni lanciare all'avvio, con il codice che verrà eseguito al prossimo riavvio.

Qualsiasi sito visitato dall'utente può poi avere accesso ai file scaricati e navigare all'interno della cronologia di download. Contattato dalla stampa estera, Dave Rees di BitTorrent ha dichiarato che il fix per la vulnerabilità è stato già inserito in una versione beta del client desktop non ancora divulgata agli utenti nei canali stabili. La versione con il fix di µTorrent/BitTorrent è la 3.5.3.44352 (link per il download) e sarà diffusa a tutti gli utenti nei prossimi giorni. Anche µTorrent Web ha ricevuto la patch, e la società consiglia di aggiornare al più presto alla 0.12.0.502.

Secondo Tavis Ormandy di Project Zero, il ricercatore che ha scoperto l'exploit, le vulnerabilità sono rimaste e le patch avrebbero sistemato solamente il suo proof-of-concept. Non c'è prova che la vulnerabilità sia stata attivamente sfruttata da siti o servizi web malevoli, tuttavia consigliamo di non utilizzare l'app e il servizio web fino a quando la situazione non viene chiarita da entrambe le parti. È in ogni caso consigliabile scaricare l'ultima versione beta di µTorrent, almeno fino a quando i fix introdotti dalla compagnia non verranno rilasciati anche nel canale stabile di rilascio.

21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
oxidized21 Febbraio 2018, 15:26 #1
Passato a tixati da anni, non me ne sono mai pentito...
Goofy Goober21 Febbraio 2018, 16:53 #2
ma chi sono quei matti che usano ancora uTorrent da quando è diventato una sorta di shareware pieno di schifezze o programma a pagamento?

ora ci sono tixati e fopnu.... oltre a tanti altri.
songohan21 Febbraio 2018, 17:20 #3
Peccato, perche' utorrent era veramente veloce e leggero.
Io uso Deluge Torrent su Mac.
Com'e', secondo voi?
sintopatataelettronica21 Febbraio 2018, 19:10 #4
Originariamente inviato da: Goofy Goober
ma chi sono quei matti che usano ancora uTorrent da quando è diventato una sorta di shareware pieno di schifezze o programma a pagamento?

ora ci sono tixati e fopnu.... oltre a tanti altri.


Ma infatti: usare ancora uTorrent oggi (da qualche anno, a dire il vero) - con tutte le alternative altrettanto leggere e senza schifezze incluse e con migliori funzionalità che ci sono - è puro insensato masochismo ..
demos8821 Febbraio 2018, 19:45 #5
uTorrent è indecente già da anni... all'occorrenza uso qBittorrent, oltre che free è anche open source per cui è difficile che provino a far furbate, sarebbero evidenti.
Varg8721 Febbraio 2018, 19:47 #6
Originariamente inviato da: Goofy Goober
ma chi sono quei matti che usano ancora uTorrent da quando è diventato una sorta di shareware pieno di schifezze o programma a pagamento?

ora ci sono tixati e fopnu.... oltre a tanti altri.


Ce ne sono, ce ne sono e sono tanti. Basta guardare i client utilizzati quando si scarica un file.
Anni fa, quando han rilasciato la versione col miner incorporato, c'era chi consigliava di usare la 2.2.1, ultima versione "pulita" (uscita nel 2010 :asd. Contenti loro.
Io vivo felicemente con qBittorrent da quando han messo il miner nell'eseguibile. Le scelte sbagliate si pagano.
thecatman21 Febbraio 2018, 22:19 #7
ah ecco infatti uso ancora la 2.2.1
Varg8721 Febbraio 2018, 22:49 #8
Io son rimasto fermo alle versioni antecedenti a quella col miner, poi ho cambiato. Le pubblicità e la fuffa si potevano rimuovere dalle impostazioni avanzate del client, per questo continuavo ad usarlo dato che era abbastanza leggero e funzionava bene (uso il passato perchè appunto può essere che le cose siano cambiate non usandolo più da allora, non lo so) anche perchè all'epoca qBittorrent mi dava problemi con l'apertura delle porte e altri problemi minori.
Rimanere ad una versione così obsoleta non è una buona idea a prescindere dal bug appena scoperto anche perchè le alternative non mancano. Ognuno fa quel che ritiene opportuno chiaramente.
Chissà quanti utenti non leggeranno di questa falla e manterranno versioni senza il fix, senza considerare tutti gli altri bugfix rilasciati nel corso degli anni che correggono problemi più o meno gravi.
Dubito pure che sappiano della storia del miner rimosso poco dopo essere stati sgamati in tempo zero (ma chi l'avrebbe mai detto che qualcuno se ne sarebbe accorto!?) altrimenti non mi spiegherei il numero dei client installati.
Eress21 Febbraio 2018, 22:56 #9
uTorrent e qBittorrent sono due programmi diversi. uTorrent ormai è diventato un veicolo di schifezze di ogni genere, io uso qBittorrent saltuariamente, e finora mi sono sempre trovato bene.
calabar21 Febbraio 2018, 23:16 #10
Sarebbe utile sapere quali versioni sono affette, se è un problema solo delle versioni recenti o di tutti gli uTorrent usciti fino ad ora.

Io ho definitivamente mollato uTorrent quando hanno avuto la geniale idea convertire l'eseguibile da un'applicazione nativamente portable ad un installer. Essendo per me una delle principali caratteristiche di cui ho necessità, fine dei giochi.
Fino ad allora avevo resistito grazie ad un'efficace disattivazione delle pubblicità dal file di configurazione e ad uno scriptino che ripuliva la cartella del programma.

Purtroppo lo rimpiango ancora, perchè non ho ancora trovato un'alternativa che mi occupi quel paio di mega su disco. Le varie alternative sfortunatamente mi occupano decine di mega, quando va bene.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^