µTorrent touché par des failles d'exécution de code à distance

Le par  |  20 commentaire(s)
µTorrent-logo

Le hacker d'élite de Project Zero avait prévenu, d'autres clients BitTorrent populaires sont concernés par des vulnérabilités critiques. C'est le cas de µTorrent.

Le mois dernier, le chercheur en sécurité Tavis Ormandy de Project Zero (Google) a évoqué la découverte de vulnérabilités de type exécution de code à distance affectant des clients BitTorrent qualifiés de populaires. Seul le nom de l'application Transmission avait alors été cité.

C'est désormais au tour de nul autre que µTorrent, le client léger BitTorrent qui est dans le giron de BitTorrent Inc. Deux vulnérabilités concernent le client officiel sur ordinateur et la version web permettant de diffuser des torrents depuis le navigateur par défaut.

" Par défaut, µTorrent crée un serveur RPC via HTTP sur le port 10000 (µTorrent sur ordinateur) ou 19575 (µTorrent Web). Il y a plusieurs problèmes avec ces serveurs RPC qui peuvent être exploités par n'importe quel site web utilisant XMLHTTPRequest() ", écrit Tavis Ormandy.

Il ajoute : " Pour être clair, consulter n'importe quel site est suffisant pour compromettre ces applications. "

Comme la fois précédente, le chercheur en sécurité prolifique mentionne une technique de DNS Rebinding (un attaquant dans un réseau peut accéder à une application web dans un autre réseau) pour permettre une attaque à distance. L'attaque serait néanmoins plus limitée avec µTorrent sur l'ordinateur.

Dans les notes de version de la bêta de µTorrent 3.5.3 du 15 février, il est fait mention de corrections de sécurité à la suite d'un rapport de Tavis Ormandy. Actuellement, la version stable est 3.5.1. La correction de la vulnérabilité devrait donc intervenir dans les prochains jours.

Pour µTorrent Web, le patch idoine est dans la version 0.12.0.502. Toutefois, Tavis Ormandy a émis des doutes en s'apercevant de l'ajout d'un deuxième token à µTorrent Web qui ne résout pas le problème de DNS Rebinding, mais a simplement mis en échec son exploit qu'il a modifié par la suite.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2001950
Merci pour l'info
Le #2001961
Tant que ce n'est pas Deluge
Le #2001963
DjDeViL a écrit :

Tant que ce n'est pas Deluge


Il est probable que Deluge utilise les mêmes technos et soit potentiellement sujet au mêmes problématiques.
Le #2001970
Pire client P2P du monde
Le #2001986
Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?
Le #2001991
skynet a écrit :

Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?


Tixati. Au moins y a pas de pub de merde.
Le #2002003
Safirion a écrit :

skynet a écrit :

Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?


Tixati. Au moins y a pas de pub de merde.


Yen a plus non plus dans µtorrent

https://www.learnup.fr/index.php/tutoriels/utilitaires/25-supprimer-la-pub-dans-utorrent
Le #2002005
skynet a écrit :

Safirion a écrit :

skynet a écrit :

Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?


Tixati. Au moins y a pas de pub de merde.


Yen a plus non plus dans µtorrent

https://www.learnup.fr/index.php/tutoriels/utilitaires/25-supprimer-la-pub-dans-utorrent


Ouais, mais même, il a été dans la controverse trop souvent et c'est une usine à gaz.
Le #2002011
Safirion a écrit :

skynet a écrit :

Safirion a écrit :

skynet a écrit :

Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?


Tixati. Au moins y a pas de pub de merde.


Yen a plus non plus dans µtorrent

https://www.learnup.fr/index.php/tutoriels/utilitaires/25-supprimer-la-pub-dans-utorrent


Ouais, mais même, il a été dans la controverse trop souvent et c'est une usine à gaz.


Je vais jeter un oeil à ce client
Le #2002038
Moi je suis vendu a Utorrent 2.2.1 pas de pub, pas de spyware, pas de problèmes.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme