Исследователь безопасности Тавис Орманди (Tavis Ormandy) из команды Google Project Zero обнаружил критическую уязвимость в популярном торрент-клиенте BitTorrent. Ошибка позволяет хакерам контролировать компьютер пользователя, используя вредоносный код. По словам Орманди, сторонние программы для скачивания торрентов также могут быть восприимчивыми к уязвимости.
Брешь в безопасности BitTorrent затрагивает функцию передачи данных, благодаря которой злоумышленник может получить удаленный доступ к компьютеру жертвы через браузер. В ее основе лежит технология взлома, известная как внедрение ложного DNS-сервера. Атаку возможно воспроизвести на устройствах под управлением операционных систем Windows или Linux, пользователи которых работают с Google Chrome и Mozilla Firefox. Что касается других известных платформ и браузеров, то, согласно исследователю, с большей долей вероятности они аналогично подвержены обнаруженной уязвимости. Какие именно Орманди не назвал, поскольку 90-дневное окно еще не закрыто.
Орманди был вынужден опубликовать информацию об ошибке, потому что разработчики BitTorrent не устранили ошибку, хотя их уведомили об этом более 40 дней назад. Как правило, Project Zero не публикует данные в течение 90 дней или пока разработчик не выпустит исправление. Отчет исследователя включает не только подробное описание, но и патч по устранению данной уязвимости.
Издание Ars Technica со ссылкой на представителя по развитию BitTorrent сообщило, что официальное обновление с исправлением обнаруженной ошибки будет выпущено «как можно скорее».
