Le chercheur en sécurité Tavis Ormandy de Project Zero (Google) a encore frappé. Cette fois-ci, il tape sur des clients BitTorrent qualifiés de populaires avec la mise au jour de vulnérabilités de type exécution de code à distance.

À ce stade, seule l'application Transmission a été citée, mais d'autres suivront. Cela dépendra du délai de grâce accordé, soit théoriquement une fenêtre de 90 jours (après communication auprès de l'éditeur concerné) avant divulgation publique ou dès lors qu'un correctif est disponible.

Dans le cas présent, cette fenêtre a été raccourcie à 40 jours du fait que le rapport de bug pour Transmission comportait un patch afin de combler la vulnérabilité découverte. Elle a ainsi été dévoilée la semaine dernière.

" Je n'ai jamais eu un projet open source mettant autant de temps à corriger une vulnérabilité ", a pesté Tavis Ormandy, soulignant n'avoir reçu aucune réponse pendant plus d'un mois. À Ars Technica, un responsable du développement de Transmission a indiqué qu'un correctif sera publié au plus vite. Il a ajouté que la faille n'était présente que lorsque l'utilisateur autorise un accès à distance (via le navigateur web) et désactive la protection par mot de passe.

Tavis Ormandy explique que Transmission utilise une architecture client / serveur, avec l'interface utilisateur qui est le client et un daemon s'exécute en arrière-plan pour gérer le téléchargement, le seeding (connexion à d'autres ordinateurs et partage d'un fichier).

Le client interagit avec le daemon par le biais de requêtes JSON RPC à un serveur web local. En exploitant une technique de DNS Rebinding (un attaquant dans un réseau peut accéder à une application web dans un autre réseau), l'interface de Transmission peut être contrôlée à distance.

" J'ai testé ma preuve de concept avec Chrome et Firefox sur Windows et Linux. Elle fonctionne sur toutes les plateformes et navigateurs ", écrit Tavis Ormandy. De plus amples détails sont publiés sur GitHub avec le patch idoine.