В uTorrent найдены критические уязвимости, позволяющие злоумышленникам получать доступ к скачанным файлам и заражать компьютеры пользователей.
Уязвимость обнаружил Тевис Орманди, специалист Google Project Zero.
Он заявляет, что клиенты uTorrent оставляют незащищенные RPC-серверы на портах 110000 (десктопная версия) и 19575 (uTorrent Web). Это позволяет злоумышленникам встроить команды для взаимодействия с RPC в код своего сайта и заражать компьютеры пользователей.
В десктопной версии мошенники могут получить доступ к загруженным файлам и просматривать историю загрузок. В uTorrent Web вредоносная программа может быть добавлена в папку автозагрузки Windows и после перезагрузки система автоматически запустит такой файл.
Разработчики uTorrent уже выпустили патч для десктопного uTorrent. Пока он доступен только в бета-версии uTorrent, которая в ближайшее время станет доступна всем пользователям через систему автоматических обновлений.
Напомним, в начале февраля Google выплатил около 2,9 млн сторонним специалистам, нашедшим уязвимости в его продуктах.
Источник: Ars Technica