Phát hiện hai lỗ hổng nghiêm trọng trên uTorrent giúp hacker có thể thực thi mã độc hoặc xem lịch sử download trên máy của bạn

Các nhà nghiên cứu của dự án Google Zero đã phát hiện hai lỗ hổng Remote Code Execution nghiêm trọng ở các phiên bản phổ biến của uTorrent phiên bản web và desktop của hãng BitTorrent. Các hacker có thể lợi dụng hai lỗ hổng này để xem lịch sử tải xuống hoặc thực thi phần mềm độc hại trên máy tính của người dùng.

Nhà nghiên cứu bảo mật Tavis Ormandy đã phải chờ 90 kể từ khi anh ta thông báo cho uTorrent để công bố về phát hiện của mình tới người dùng.

Thông báo của Tavis Ormandy trên Twitter.

Theo Ormandy, lỗ hổng trong phiên bản desktop và phiên bản web của uTorrent liên quan tới các vấn đề về JSON-RPC khác nhau. Cả hai đều sử dụng một giao diện web để hiển thị nội dung trang web.

Bằng cách giấu các lệnh (tải phần mềm độc hại vào thư mục khởi động của máy tính hoặc truy cập vào thông tin về hoạt động tải xuống của người dùng) bên trong các trang web và tương tác với các máy chủ RPC của uTorrent, một kẻ tấn công với một trang web giả mạo có thể khai thác lỗ hổng phía khách hàng.

BitTorrent cho biết lỗ hổng này đã được khắc phục trong phiên bản beta gần đây nhất của ứng dụng uTorrent Windows dành cho máy tính để bàn. Một bản vá cho các khách hàng hiện tại sẽ được tung ra trong vài ngày tới.

Để khắc phục lỗ hổng này, người dùng có thể tự tải về một phiên bản desktop đã được vá lỗ hổng là 3.5.3.44352(http://www.utorrent.com/downloads/complete/track/beta/os/win).

Xem thêm:

• Mã nguồn của iOS bị lộ trên GitHub là “hàng thật”, đây là lần để lộ thông tin lớn nhất trong lịch sử
• Làm thế nào để bảo vệ các cổng mạng có tính rủi ro cao?
• Microsoft tung bản vá khẩn cấp cho Windows, tắt bản vá Spectre gây sụt giảm hiệu năng hệ thống
• Phát hiện lỗ hổng nghiêm trọng ở Framework Electron, Skype, Slack, Twitch và hàng loạt app bị ảnh hưởng