Descubiertas varias vulnerabilidades graves en µTorrent que permiten la ejecución remota de código

1, 2, 3, 4, 59
Alejo I
Ordo Malleus

Staff
24.661 mensajes
desde sep 2000
Editado 4 veces. Última: 21/02/2018 - 22:21:41 por .
Actualización: Los usuarios que quieran comprobar si están expuestos pueden utilizar esta página creada por Ormandy, que bloquea el cliente sin causar daños si resulta vulnerable.

Noticia original: Los desarrolladores de uTorrent se enfrentan a una nueva polémica tras darse a conocer que el popular cliente P2P contiene graves vulnerabilidades en su código que permitiría la ejecución de código remota con solo pinchar en un enlace. El descubrimiento, que afecta tanto a la aplicación como a la versión web del cliente (siendo esta última la más impactada), ha sido realizado por el experto en seguridad Tavis Ormandy, que hace tiempo también desveló una vulnerabilidad similar en Transmission.

De acuerdo con Ormandy, los fallos están relacionados con el manejo de DNS y fueron comunicados a BitTorrent Inc. allá por el mes de diciembre, con una fecha límite de 90 días para solucionarlo antes de desvelarlo públicamente. Ormandy volvió a ponerse en contacto el mes pasado con la compañía al temer que no iban a llegar a tiempo para cumplir el plazo. Finalmente el bug ha salido a la luz debido a los múltiples retrasos en su solución.

BitTorrent Inc., propietaria de uTorrent desde su compra en 2006, se ha puesto en contacto con TorrentFreak para manifestar que la última versión beta del cliente incorpora una solución y que una versión estable será lanzada a lo largo de esta semana. No obstante, la efectividad de esta solución ha sido puesta en duda por Ormandy, puesto que según el investigador lo único que hace es añadir un segundo token que rompe su exploit (el cual ya ha sido reconstruido) pero no anula las vulnerabilidades si se utiliza la configuración por defecto.

En estos momentos no está claro si la última beta de uTorrent ya incorpora una solución efectiva, pero en cualquier caso los usuarios preocupados por la seguridad de sus equipos (y esta no es una cuestión baladí si se considera la clase de malware que suele colarse a través de las páginas de Torrents) deberían actualizar a la última versión o utilizar alternativas como qBittorrent.

Cabe recordar que esta no es la primera vez que uTorrent se convierte en noticia por su ausencia de seguridad. El cliente ha sido objeto de polémica por la presencia de adware e incluso de un minero de Litecoin, que se ejecutaba de fondo consumiendo los recursos de la CPU y la GPU.

Fuente: TorrentFreak
GodOfKratos
MegaAdicto!!!
4.513 mensajes
desde abr 2009
Esto afecta a las versiones viejas (antes de volverse mierda)?
sabeis si qtorrent tambien le afecta esta vulnerabilidad?
Pues yo lo seguia usando,asi que nada,a quitarlo.

¿Alguien me recomienda alguno que se decente?
Ñomo
MegaAdicto!!!
3.088 mensajes
desde feb 2016
Transmission BitTorrent también está afectado.
Fuente.
Ser ultrax
MegaAdicto!!!
12.720 mensajes
desde ago 2006
RedGear escribió:Pues yo lo seguia usando,asi que nada,a quitarlo.

¿Alguien me recomienda alguno que se decente?



qbittorrent
Pues nada como me de por usar utorrent me pueden poner a minar el pc (porque todos sabemos que es lo más probable que ocurra)
fbpr85
MegaAdicto!!!
515 mensajes
desde feb 2010
en MX
"contiene una grave vulnerabilidad .. que permitiría la ejecución de código .. con solo pinchar en un enlace"

Esto se refiere a enlaces magnet, o a enlaces dentro del propio utorrent por ejemplo los banners?
Yo uso Seeder para descargar torrents (es un cliente online).
1, 2, 3, 4, 59