Actualización: Los usuarios que quieran comprobar si están expuestos pueden utilizar
esta página creada por Ormandy, que bloquea el cliente sin causar daños si resulta vulnerable.
Noticia original: Los desarrolladores de uTorrent se enfrentan a una nueva polémica tras darse a conocer que el popular cliente P2P contiene graves vulnerabilidades en su código que permitiría la ejecución de código remota con solo pinchar en un enlace. El descubrimiento, que afecta tanto a la aplicación como a la versión web del cliente (siendo esta última la más impactada), ha sido realizado por el experto en seguridad Tavis Ormandy, que hace tiempo también desveló una vulnerabilidad similar en Transmission.
De acuerdo con Ormandy, los fallos están relacionados con el manejo de DNS y fueron comunicados a BitTorrent Inc. allá por el mes de diciembre, con una fecha límite de 90 días para solucionarlo antes de desvelarlo públicamente. Ormandy volvió a ponerse en contacto el mes pasado con la compañía al temer que no iban a llegar a tiempo para cumplir el plazo. Finalmente el
bug ha salido a la luz debido a los múltiples retrasos en su solución.
BitTorrent Inc., propietaria de uTorrent desde su compra en 2006, se ha puesto en contacto con
TorrentFreak para manifestar que la última versión beta del cliente incorpora una solución y que una versión estable será lanzada a lo largo de esta semana. No obstante, la efectividad de esta solución ha sido puesta en duda por Ormandy, puesto que según el investigador lo único que hace es añadir un segundo
token que rompe su
exploit (el cual ya ha sido reconstruido) pero
no anula las vulnerabilidades si se utiliza la configuración por defecto.
En estos momentos no está claro si la última beta de uTorrent ya incorpora una solución efectiva, pero en cualquier caso los usuarios preocupados por la seguridad de sus equipos (y esta no es una cuestión baladí si se considera la clase de malware que suele colarse a través de las páginas de Torrents) deberían actualizar a la última versión o utilizar alternativas como
qBittorrent.
Cabe recordar que esta no es la primera vez que uTorrent se convierte en noticia por su ausencia de seguridad. El cliente ha sido objeto de polémica por la presencia de
adware e incluso de un minero de Litecoin, que se ejecutaba de fondo consumiendo los recursos de la CPU y la GPU.
Fuente: TorrentFreak