Ранее мы писали о том, что один из сотрудников проекта Google Project Zero обнаружил в популярном торрент-клиенте uTorrent серьёзные уязвимости, которые долгое время оставались без внимания. Уязвимости позволяют злоумышленникам отслеживать историю загрузок, получать доступ к загруженным файлам и выполнять действия на удалённой машине. Как оказалось, найденные проблемы касаются не только uTorrent Web, но и десктопной версии клиента.
Наибольшее количество проблем, по словам исследователя безопасности, найдено в новом приложении uTorrent Web. Главная опасность заключается в том, что торрент-клиенты оставляют незащищенный RPC-сервер. Это позволяет злоумышленникам перехватывать управление клиентом, встроив определённый код на свою веб-страницу, менять расположение папки для сохранения файлов, например, на директорию для автозагрузки (Startup) и загружать вредоносное ПО на компьютер пользователя.
Десктопный клиент uTorrent менее уязвим к этой проблеме. Он лишь позволяет злоумышленникам после исполнения кода просматривать историю загрузок и получать доступ к папке с загруженными файлами. В подтверждение этому были созданы специальные веб-страницы для демонстрации уязвимостей в работе uTorrent Web (1) и uTorrent (1, 2).
Разработчики программы заявили, что уже исправили данные уязвимости в бета-версии десктопного клиента uTorrent / BitTorrent 3.5.3.44352 и выложили обновление на официальном сайте. Стабильная версия появится в ближайшие дни и будет распространяться автоматически. Что касается uTorrent Web, исправление браузерной версии с номером сборки 0.12.0.502 также уже доступно для загрузки.
