Descubiertas varias vulnerabilidades graves en µTorrent que permiten la ejecución remota de código

Actualización: Los usuarios que quieran comprobar si están expuestos pueden utilizar esta página creada por Ormandy, que bloquea el cliente sin causar daños si resulta vulnerable.

Noticia original: Los desarrolladores de uTorrent se enfrentan a una nueva polémica tras darse a conocer que el popular cliente P2P contiene graves vulnerabilidades en su código que permitiría la ejecución de código remota con solo pinchar en un enlace. El descubrimiento, que afecta tanto a la aplicación como a la versión web del cliente (siendo esta última la más impactada), ha sido realizado por el experto en seguridad Tavis Ormandy, que hace tiempo también desveló una vulnerabilidad similar en Transmission.

De acuerdo con Ormandy, los fallos están relacionados con el manejo de DNS y fueron comunicados a BitTorrent Inc. allá por el mes de diciembre, con una fecha límite de 90 días para solucionarlo antes de desvelarlo públicamente. Ormandy volvió a ponerse en contacto el mes pasado con la compañía al temer que no iban a llegar a tiempo para cumplir el plazo. Finalmente el bug ha salido a la luz debido a los múltiples retrasos en su solución.

BitTorrent Inc., propietaria de uTorrent desde su compra en 2006, se ha puesto en contacto con TorrentFreak para manifestar que la última versión beta del cliente incorpora una solución y que una versión estable será lanzada a lo largo de esta semana. No obstante, la efectividad de esta solución ha sido puesta en duda por Ormandy, puesto que según el investigador lo único que hace es añadir un segundo token que rompe su exploit (el cual ya ha sido reconstruido) pero no anula las vulnerabilidades si se utiliza la configuración por defecto.

En estos momentos no está claro si la última beta de uTorrent ya incorpora una solución efectiva, pero en cualquier caso los usuarios preocupados por la seguridad de sus equipos (y esta no es una cuestión baladí si se considera la clase de malware que suele colarse a través de las páginas de Torrents) deberían actualizar a la última versión o utilizar alternativas como qBittorrent.

Cabe recordar que esta no es la primera vez que uTorrent se convierte en noticia por su ausencia de seguridad. El cliente ha sido objeto de polémica por la presencia de adware e incluso de un minero de Litecoin, que se ejecutaba de fondo consumiendo los recursos de la CPU y la GPU.

Fuente: TorrentFreak
Esto afecta a las versiones viejas (antes de volverse mierda)?
sabeis si qtorrent tambien le afecta esta vulnerabilidad?
Pues yo lo seguia usando,asi que nada,a quitarlo.

¿Alguien me recomienda alguno que se decente?
Transmission BitTorrent también está afectado.
Fuente.
RedGear escribió:Pues yo lo seguia usando,asi que nada,a quitarlo.

¿Alguien me recomienda alguno que se decente?



qbittorrent
Pues nada como me de por usar utorrent me pueden poner a minar el pc (porque todos sabemos que es lo más probable que ocurra)
"contiene una grave vulnerabilidad .. que permitiría la ejecución de código .. con solo pinchar en un enlace"

Esto se refiere a enlaces magnet, o a enlaces dentro del propio utorrent por ejemplo los banners?
Yo uso Seeder para descargar torrents (es un cliente online).
Se sabe qué versiones están afectadas?
qbittorrent está afectado también?
Yo uso qBittorrent alguna vez, ya veremos si ese también tiene esos problemas, por ahora no hay información sobre el, el test para el no vale
Yo uso una versión antigua antes de que le metieran todos los ads. Buscadla
habéis probado lo de la página del test?

a mi si le pincho al terceto (Trigger Pin Request) me salta un mensaje en Utorrent para que ponga un pin (1234).... entiendo que es vulnerable? ¬_¬

tengo la versión de Mac instalada...

salu2
Qbittorent es la mejor opción. Yo usaba UTorrent hasta que descurií que QBittorrent me iba más rápido con mi conexión,[ que aunque no está mal, tampoco es para tirar cohetes..] y desde entonces 0 problemas :cool:
Hace mucho tiempo que no uso ese cliente desde que se volvió casi malware de publicidad. uso qtorrent, esperemos que no sufra de vulnerabilidad
GodOfKratos escribió:Esto afecta a las versiones viejas (antes de volverse mierda)?


Yo uso¹ la 2.0.0, inferior a la famosa 2.2.1 y te digo que le afecta.

El problema, porque la noticia es MUY SENSACIONALISTA (no te ofendas, Alejo, porque no es culpa tuya) es que µtorrent tiene un servidor web permanentemente activo para controlarlo "remotamente" en localhost (127.0.0.1), puerto 10000, y se puede acceder al servidor con una URL y enviar parámetros que controlan µtorrent.

Y eso en sí no es el problema, el problema es que los navegadores no tienen un filtro de acceso a localhost, así que si te encuentras una imagen, enlace o lo que sea que haga una llamada a 127.0.0.1:10000 y lo que sea, pues se puede controlar remotamente el cliente con los parámetros de la URL.

La culpa en sí no es ni de uno, ni de otro. Aunque, bueno, de µtorrent sí por poner un servidor así por la cara; y del navegador, también, por permitir acceso desde la web a recursos locales. Es increíble el coñazo que dan con CORS a la inversa, pero ya si eso al revés, que le den.

Se puede solucionar con poner una regla en el firewall que no permita al navegador conectarse a 127.0.0.1 y al puerto 10000, si no se quiere, se puede usar un parche o no se quiere deshabilitar el servidor (que en la 2.0.0, no se puede, por cierto).

Yo, la verdad es que hace años que tengo una regla así en el firewall, porque no es la primera vez que me encuentro imágenes colgadas en la red apuntando a IPs locales. Bueno, y que tampoco me gusta que el navegador tenga un loopback. Nunca he entendido esta función en el navegador.

¹ lo de usar es un decir, hace eones que no uso torrent
Ñomo escribió:Transmission BitTorrent también está afectado.
Fuente.

Con Transmission para Windows (2.93 x64) no funcionan los exploits si no instalas la parte del acceso remoto (web client y daemon). Sólo con el QT client ya puedes descargar (como viene por defecto la instalación).
Probado con un POC que el mismo autor ha publicado aquí y aquí.
Hola,me he descargado el Qtorrent he puesto una película y ha tardado 0,000 en descargarse.Puede ser así ? ( no lo había probado nunca).Por c,ni me aparecía en la lista de descargas.
No Puede ser q tarde tan poco,si ha sido un visto y no visto.Ocupaba 2,56 gb.
Algo está mal verdad ?
Esto solo afecta a Utorren el programa o a los demas gestores en general?

Yo uso Deluge ... :( :(
aka_psp escribió:Yo uso Seeder para descargar torrents (es un cliente online).


gratis no vale para nada, no deja bajar archivos superiores a 2gb y la descarga es patética... a estas alturas pagamos por esos servicios todavía?, se supone que los Torrents son P2P y no hay que pagar para descargar... que pijada por dios, aunque bueno cada uno con su money [angelito] [angelito] [angelito]
Desde el escándalo del minado oculto me pasé a Deluge, es de código abierto con versiones para un montón de sistemas operativos.
Pues a mi me ha dado por hacer el test ese de la pagina esa y de los 4 test solo me pide permiso en los 2 del medio, en las demás casillas no hace nada, claro que he usado Bittorrent 7.2.1 pero me dio por probar como prácticamente son iguales...

Eso si, me encanta esta versión de Bittorrent, si publicidad y sin mierdas varias al ser una versión antigua.
No entiendo muy bien el funcionamiento de la página del test. Cada botón me hace exactamente lo que indica cada uno, ¿eso es bueno, o malo? [qmparto]
En los telefonos tambien?.
Preferencias -> Web UI -> Desactivar
Advanced -> net.discoverable -> False

Y se acabó el problema.
Raritanium escribió:Preferencias -> Web UI -> Desactivar
Advanced -> net.discoverable -> False

Y se acabó el problema.


Seguro?
GrimFregando escribió:
Raritanium escribió:Preferencias -> Web UI -> Desactivar
Advanced -> net.discoverable -> False

Y se acabó el problema.


Seguro?

Seguro https://lock.cmpxchg8b.com/utorrent-crash-test.html
kai_dranzer20 está baneado por "Game Over"
Ya nada es seguro, luego van encontrar vulnerabilidades hasta en los tostadoras [facepalm]
Yo uso la versión 1.8.3 y en la pagina del test no funciona ningún apartado

https://lock.cmpxchg8b.com/utorrent-crash-test.html
Despues de los anuncios, el minador de bitcoins y las versiones infectadas ¿Todavía hay gente que usa utorrent?
pero alguien usa esa mierda? yo desde que hicieron algo para no poder quitar la publicidad y ver publicidad con sonido, le metí un unistall fresco.

Ademas qbittorent baja igual de rápido y no tiene publicidad
Yo uso el bitcomet y no aparece nada
Hace ya tiempo que muchos no recomendamos usar este programa, especialmente cuando empezó a llenarse de publicidad, adware, bloatware y hasta un minero de criptomonedas que llegó a tener en su día.

Hay alternativas mucho mejores que le dan mil vueltas. Deluge y qBitTorrent son quizás las más conocidas y que más se asemejan, pero hay otras tantas igualmente buenas.

Y sinceramente, tener que andar navegando por las configuraciones para andar quitando "mierdas" o bloqueando historias para usar un programa limpiamente no me parece ni medio presentable.
No me ha quedado muy claro... si la vulnerabilidad está en μTorrent, ¿también está en BitTorrent? Es el que uso yo, no sabía que ambos formaban parte de la misma empresa.

¿Se solucionará dicha vulnerabilidad? ¿Dónde podría ir siguiendo para saber cuándo está solucionado?
RedGear escribió:Pues yo lo seguia usando,asi que nada,a quitarlo.

¿Alguien me recomienda alguno que se decente?


QBITTORRENT.
Es de código abierto y por tanto no lleva mierda escondida. Además funciona muy bien.

Salu2 :cool:
¿Es que todavía alguien descarga Torrents en Windows? [boing]

Lo suyo es un servidor Nas (yo uso Synology de hace 5 años), que cuesta dos duros de segunda mano, no consume apenas nada de electricidad y es seguro.

O coges un PC muy viejo y le metes un SO bajo Linux y a correr.
Para lo poco que pirateo sigo con utorrent xD
bley escribió:¿Es que todavía alguien descarga Torrents en Windows? [boing]

Lo suyo es un servidor Nas (yo uso Synology de hace 5 años), que cuesta dos duros de segunda mano, no consume apenas nada de electricidad y es seguro.

O coges un PC muy viejo y le metes un SO bajo Linux y a correr.


[boing]

Sí amigo, sí. No todos estamos todo el día descargando como para montar algo específico para ello.

Yo ya teniendo Netflix y KODI, lo que descargo aparte es muy puntual. Sólo algunas cosas que quiero almacenar en máxima calidad, con lo cual sí, sigo descargando con mi PC...

:O
como el malware que trae al instalarlo
Desde hace años es una maldita basura de cliente que no aporta más que desconfianza total. Yo utilizo desde hace ya mucho qbitorrent y genial.
@deividjg @millenium

qbittorrent lo malo que tiene son dos cosas a mi parecer...

1- Después de haber bajado lo que sea, si se te ocurre cambiarlo a otro sitio... qbittorrent te lo vuelve a bajar la próxima vez que lo vuelvas a poner, me parece una cagada gorda.

2- Si dejas qbittorrent descargando lo que sea y le pones la opción de "Apagar el PC al terminar de descargar", lo hace, pero cuando vuelves a encender el PC... AUTOMATICAMENTE se ejecuta qbittorrent al iniciar Windows, y aunque la casilla que tiene en opciones esté deshabilitada (la de "iniciar qbittorrent al iniciar Windows"), da lo mismo, se la pasa por el forro, te inicia junto con Windows, con dos cojones, todo esto en Windows 10 al menos.

En mi caso uso Bittorrent 7.2.1, una versión "limpia", que no trae mierdas, ni mina ni nada y funciona a las mil maravillas, no la actualizaré nunca, para mi la mejor versión que hay de este cliente torrent de lejos.

Un saludo.
Parallax Snake escribió:@deividjg @millenium

qbittorrent lo malo que tiene son dos cosas a mi parecer...

1- Después de haber bajado lo que sea, si se te ocurre cambiarlo a otro sitio... qbittorrent te lo vuelve a bajar la próxima vez que lo vuelvas a poner, me parece una cagada gorda.

2- Si dejas qbittorrent descargando lo que sea y le pones la opción de "Apagar el PC al terminar de descargar", lo hace, pero cuando vuelves a encender el PC... AUTOMATICAMENTE se ejecuta qbittorrent al iniciar Windows, y aunque la casilla que tiene en opciones esté deshabilitada (la de "iniciar qbittorrent al iniciar Windows"), da lo mismo, se la pasa por el forro, te inicia junto con Windows, con dos cojones, todo esto en Windows 10 al menos.

En mi caso uso Bittorrent 7.2.1, una versión "limpia", que no trae mierdas, ni mina ni nada y funciona a las mil maravillas, no la actualizaré nunca, para mi la mejor versión que hay de este cliente torrent de lejos.

Un saludo.

Cuando tenía instalado uTorrent también hacia lo mismo que dices en el punto 2 con qBittorrent, pero sin apagar el PC tras una descarga. Es decir, encendías el ordenador y automáticamente se iniciaba el programa a pesar de tener desactivada la opción. Lo quité enseguida por el tema de los mineros. Ya eran (y veo que todavía siguen siendo) demasiados los "extras indeseados" con este programa.

¡Un saludo!
El eslogan de ésto podría ser un "Para vosotros, piratillas"?. XD

Es coña. Pues una putada, la verdad.

Imagino que el Bittorrent no tendrá ese problema o son lo mismo?.
Yo llevaba meses y meses sin tenerlo instalado. Y hace unos dias instalé bittorrent. Q casualidad xd
Probare el qbittorent ese.
Parallax Snake escribió:@deividjg @millenium

2- Si dejas qbittorrent descargando lo que sea y le pones la opción de "Apagar el PC al terminar de descargar", lo hace, pero cuando vuelves a encender el PC... AUTOMATICAMENTE se ejecuta qbittorrent al iniciar Windows, y aunque la casilla que tiene en opciones esté deshabilitada (la de "iniciar qbittorrent al iniciar Windows"), da lo mismo, se la pasa por el forro, te inicia junto con Windows, con dos cojones, todo esto en Windows 10 al menos.


Tengo qBitTorrent en Windows 10 Pro y cuando se apaga tras finalizar las descargas, al arrancar de nuevo no se inicia qBitTorrent.

Revisa tu configuración porque algo tienes mal.

Salu2 :cool:
señores utorrent me ha metido mierdas en el pc, acabo de desinstalarlo y el antivirus se había vuelto loco sacando mierdas del pc que no sabia ni que estaban ahi.
@millenium Esto pasaba al menos con la vesrión 4.0.3 o así si no recuerdo mal de qbittorrent, otra cosa es que lo hayan arreglado hace muy poco, pero lo de volver a descargar los archivos otra vez si los mueves de sitio... eso me parece de juzgado de guardia.
86 respuestas
1, 2