  |
Za poslednú hodinu: 72 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 22. novembra 2024, dnes má meniny Cecília |
|
V uTorrente vážne chyby, ľubovoľný web vie čo sťahujete alebo môže infikovať PC
BitTorrent
Informácie o chybách v utorok zverejnil bezpečnostný expert Tavis Ormandy z bezpečnostného tímu Google Project Zero po tom, ako tvorcovia uTorrentu nevydali opravený softvér v lehote 90 dní od nahlásenia respektíve v poslednej jemu sprístupnenej verzii jednu z nich opravili nedostatočne. Dve hlavné chyby sa nachádzajú vo webových serveroch, ktoré uTorrent Classic a Web majú v štandardnej konfigurácii aktívne a dostupné len z počítača kde je softvér inštalovaný. Pristupovať na ne tak môžu ale stránky a JavaScript z ľubovoľných webových stránok zobrazených vo webovom prehliadači užívateľa a vďaka chybám v návrhu ochrany prístupu s použitím techniky DNS rebinding môžu uskutočňovať rozličné akcie. Pri útoku DNS rebinding sa doména útočníkovej stránky najskôr prekladá na IP pod jeho kontrolou a útočník do prehliadača tak dostane potrebný kód útoku. Následne sa doména začne prekladať už na IP adresu 127.0.0.1, kód tak pri komunikácii s vlastnou doménou ale v skutočnosti s IP nasmerovanou na webový server zahrnutý v uTorrente má plné oprávnenia a môže uskutočňovať rozličné akcie.
V prípade uTorrent Classic má tento klient spustený JSON RPC server na porte 10000, cez ktorý môže ľubovoľná stránka týmto útokom zisťovať aké torrenty klient sťahuje a zároveň ich aj od užívateľa stiahnuť. V prípade uTorrent Web, nového klienta používaného iba cez webové rozhranie, beží na lokálnom porte 19575 webové rozhranie. S použitím DNS rebinding može ale jednoducho ľubovoľná stránka pre zlyhanie v ochrane prístupu ovládať tohto klienta a vďaka tomu napríklad infikovať počítač užívateľa, napríklad prestavením priečinku kam sa torrenty sťahujú a stiahnutím škodlivého spustiteľného kódu ktorý sa následne spustí. Okrem toho identifikoval Ormandy ešte niekoľko menších zraniteľností. Problém v uTorrent Classic bol opravený v poslednej beta verzii 3.5.3 zostavenie 44352, opravená stabilná verzia zatiaľ vydaná nebola, má sa tak stať čoskoro. V prípade uTorrent Web včera Ormandy informoval, že oprava uskutočnená v uTorrent Web je nedostatočná a zraniteľnosť sa dá stále po modifikácii útoku zneužiť. BitTorrent ale v stanovisku pre médiá avizuje, že opravený uTorrent Web bol už sprístupnený v podobe verzie 0.12.0.502. Nie je ale jasné, či má táto verzia už zraniteľnosť plne opravenú alebo aj pre ňu platí včerajšie konštatovanie Ormandyho. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
