Две версии из самых популярных BitTorrent-клиентов uTorrent содержат уязвимость, позволяющую злоумышленнику выполнить код на атакуемой системе, получить доступ к загружаемым файлам и следить за историей загрузок. Проблему обнаружил исследователь Google Project Zero Тэвис Орманди. Брешь найдена в десктопной версии uTorrent для Windows и более новом продукте uTorrent Web.
Из-за уязвимости любой посещаемый пользователем сайт может контролировать ключевые функции клиента. Самая большая угроза скрывается в сайтах, которые могут проэксплуатировать уязвимость для загрузки вредоносного кода в папку запуска Windows, откуда он автоматически запустится после следующего включения компьютера. При этом каждый посещаемый пользователем сайт также может получать доступ к скачанным файлам и истории загрузок.
Уязвимость была исправлена в бета-версии uTorrent для Windows, но пользователи финальной сборки патч пока еще не получили. Сообщается, что обновление должно поступить в течение нескольких дней. Пользователям uTorrent Web эксперты рекомендуют обновиться до актуальной сборки 0.12.0.502.
Источник: securitylab.ru