点对点分享应用程序 BitTorrent 和其轻量版 uTorrent 一直都是绑架软件的最爱。Google 研究员 Tavis Ormandy 最近发布详细报告,指 Windows 版本的客户端里存有 DNS 的重新绑定漏洞,骇客可借此改变受害者的网页域名,让他们可以获得电脑的存取权。骇客通过远程执行代码,把恶意软件下载到 Windows 的启动资料夹(下次开机时就会启动)、提取下载文件,以及查看下载历史。这漏洞存在于所有未经修补的版本,包括 uTorrent Web。
幸好是这漏洞在 12 月回报之后,BitTorrent 已经推出针对的补丁,可是 Ormandy 却担心使用者会因为沟通不足而没有更新软件。BitTorrent 工程副总裁 Dave Rees 向我们表示传统客户端已经在上周释出的 beta 版修复,稳定版则会在本周内推出。Ormandy 同时也有担心 BitTorrent 没有恰当地修正 uTorrent Web,但 Rees 也有解释他们也已经修补相关的漏洞。
虽然目前仍没有证据显示这漏洞已经被骇客广泛应用,但为了安全的考量,各位有使用 BitTorrent 和 uTorrent 的朋友还是请尽速更新客户端吧。
经由: TorrentFreak, Ars Technica, Engadget
来源: Tavis Ormandy (Twitter), Chromium.org
