µTorrent touché par des failles d'exécution de code à distance

Le par Jérôme G.  |  20 commentaire(s)
µTorrent-logo

Le hacker d'élite de Project Zero avait prévenu, d'autres clients BitTorrent populaires sont concernés par des vulnérabilités critiques. C'est le cas de µTorrent.

Le mois dernier, le chercheur en sécurité Tavis Ormandy de Project Zero (Google) a évoqué la découverte de vulnérabilités de type exécution de code à distance affectant des clients BitTorrent qualifiés de populaires. Seul le nom de l'application Transmission avait alors été cité.

C'est désormais au tour de nul autre que µTorrent, le client léger BitTorrent qui est dans le giron de BitTorrent Inc. Deux vulnérabilités concernent le client officiel sur ordinateur et la version web permettant de diffuser des torrents depuis le navigateur par défaut.

" Par défaut, µTorrent crée un serveur RPC via HTTP sur le port 10000 (µTorrent sur ordinateur) ou 19575 (µTorrent Web). Il y a plusieurs problèmes avec ces serveurs RPC qui peuvent être exploités par n'importe quel site web utilisant XMLHTTPRequest() ", écrit Tavis Ormandy.

Il ajoute : " Pour être clair, consulter n'importe quel site est suffisant pour compromettre ces applications. "

Comme la fois précédente, le chercheur en sécurité prolifique mentionne une technique de DNS Rebinding (un attaquant dans un réseau peut accéder à une application web dans un autre réseau) pour permettre une attaque à distance. L'attaque serait néanmoins plus limitée avec µTorrent sur l'ordinateur.

Dans les notes de version de la bêta de µTorrent 3.5.3 du 15 février, il est fait mention de corrections de sécurité à la suite d'un rapport de Tavis Ormandy. Actuellement, la version stable est 3.5.1. La correction de la vulnérabilité devrait donc intervenir dans les prochains jours.

Pour µTorrent Web, le patch idoine est dans la version 0.12.0.502. Toutefois, Tavis Ormandy a émis des doutes en s'apercevant de l'ajout d'un deuxième token à µTorrent Web qui ne résout pas le problème de DNS Rebinding, mais a simplement mis en échec son exploit qu'il a modifié par la suite.


  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
skynet Hors ligne VIP icone 79047 points
Le #2001950
Merci pour l'info
DjDeViL Hors ligne Vétéran icone 2156 points
Le #2001961
Tant que ce n'est pas Deluge
LinuxUser Hors ligne VIP icone 14744 points
Le #2001963
DjDeViL a écrit :

Tant que ce n'est pas Deluge


Il est probable que Deluge utilise les mêmes technos et soit potentiellement sujet au mêmes problématiques.
Safirion Hors ligne VIP icone 40201 points
Le #2001970
Pire client P2P du monde
skynet Hors ligne VIP icone 79047 points
Le #2001986
Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?
Safirion Hors ligne VIP icone 40201 points
Le #2001991
skynet a écrit :

Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?


Tixati. Au moins y a pas de pub de merde.
skynet Hors ligne VIP icone 79047 points
Le #2002003
Safirion a écrit :

skynet a écrit :

Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?


Tixati. Au moins y a pas de pub de merde.


Yen a plus non plus dans µtorrent

https://www.learnup.fr/index.php/tutoriels/utilitaires/25-supprimer-la-pub-dans-utorrent
Safirion Hors ligne VIP icone 40201 points
Le #2002005
skynet a écrit :

Safirion a écrit :

skynet a écrit :

Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?


Tixati. Au moins y a pas de pub de merde.


Yen a plus non plus dans µtorrent

https://www.learnup.fr/index.php/tutoriels/utilitaires/25-supprimer-la-pub-dans-utorrent


Ouais, mais même, il a été dans la controverse trop souvent et c'est une usine à gaz.
skynet Hors ligne VIP icone 79047 points
Le #2002011
Safirion a écrit :

skynet a écrit :

Safirion a écrit :

skynet a écrit :

Safirion a écrit :

Pire client P2P du monde


Tu utilises lequel ?


Tixati. Au moins y a pas de pub de merde.


Yen a plus non plus dans µtorrent

https://www.learnup.fr/index.php/tutoriels/utilitaires/25-supprimer-la-pub-dans-utorrent


Ouais, mais même, il a été dans la controverse trop souvent et c'est une usine à gaz.


Je vais jeter un oeil à ce client
Dodge34 Hors ligne VIP icone 5919 points
Premium
Le #2002038
Moi je suis vendu a Utorrent 2.2.1 pas de pub, pas de spyware, pas de problèmes.
icone Suivre les commentaires
Poster un commentaire