«Una de las aplicaciones de BitTorrent más utilizadas de Internet, tiene vulnerabilidades fáciles de explotar que permiten a los atacantes ejecutar código, acceder a archivos descargados y husmear en los historiales de descargas», dijo un investigador de Google Project Zero. Los desarrolladores de uTorrent están en el proceso de implementar soluciones tanto para la aplicación de escritorio uTorrent para Windows como para el producto web uTorrent más nuevo.
Vulnerabilidades en uTorrent
Las vulnerabilidades, según Project Zero, hacen posible que cualquier sitio web visitado por un usuario, controle las funciones claves tanto en la aplicación de escritorio uTorrent para Windows como en uTorrent Web, una alternativa a las aplicaciones de escritorio de BitTorrent que utiliza una interfaz web y está controlada por un navegador. La mayor amenaza la plantean los sitios maliciosos que podrían explotar la falla para descargar código malicioso en la carpeta de inicio de Windows, donde se ejecutará automáticamente la próxima vez que se inicie la computadora. Cualquier sitio que visite un usuario también puede acceder a los archivos descargados y explorar los historiales de descarga.
Declaraciones de uTorrent
En un correo electrónico enviado a última hora de la tarde del martes, Dave Rees, vicepresidente de ingeniería en BitTorrent, que es el desarrollador de las aplicaciones uTorrent, dijo que la falla se ha corregido en una versión beta de la aplicación de escritorio uTorrent para Windows pero aún no se entregó a los usuarios que ya tienen instalada la versión de producción de la aplicación. La versión fija, uTorrent/BitTorrent 3.5.3.44352, está disponible aquí para descargar y se enviará automáticamente a los usuarios en los próximos días. En un correo electrónico separado enviado el martes por la noche, Rees dijo que uTorrent Web también había sido parcheado. «Recomendamos encarecidamente a todos los clientes de uTorrent Web que actualicen a la última versión 0.12.0.502 disponible en nuestro sitio web y también a través de la notificación de actualización en la aplicación», escribió.
El martes temprano, el investigador del Proyecto Cero Tavis Ormandy advirtió que los defectos permanecían sin corregir en uTorrent Web. El correo electrónico posterior de Rees indicó que ya no es el caso.
Los exploits de prueba de concepto de Ormandy incluyen este para uTorrent Web y este para el escritorio uTorrent. Los exploits utilizan una técnica conocida como redireccionamiento del sistema de nombres de dominio para hacer que un dominio de Internet no confiable se resuelva en la dirección IP local de la computadora que ejecuta una aplicación uTorrent vulnerable. El exploit de Ormandy canaliza comandos maliciosos a través del dominio para que se ejecuten en la computadora. El mes pasado, el investigador demostró vulnerabilidades críticas similares en la aplicación Transmission BitTorrent.
Ni Ormandy ni Rees incluyeron ningún consejo de mitigación para las versiones vulnerables de uTorrent. Las personas que tienen la aplicación de escritorio uTorrent para Windows o uTorrent Web instalada deben dejar de usarlas rápidamente hasta actualizar a una versión que solucione estas vulnerabilidades críticas.