Los amigos de BitTorrent Inc. han tenido días difíciles. Resulta que los cambios que ha implementado durante los últimos meses en su plataforma uTorrent, la han convertido en un serio problema de seguridad para sus usuarios.
Todo se remonta a hace unos meses, cuando Tavis Ormandy, miembro del Project Zero de Google, reveló que había armado un exploit capaz de tomar control remoto y no autorizado de cualquier computadora que tuviese instalado uTorrent.
El fallo aprovechaba la configuración del programa y su función de acceso remoto, que permite normalmente a cualquier usuario ingresar remotamente a su computadora para gestionar y bajar sus torrents aunque no esté frente a ella.
Pero un error en la protección de los DNS haría posible que cualquier atacante con conocimiento tomase control de la unidad. De modo que BitTorrent reaccionó de inmediato y se comprometió a crear un parche para arreglar todo.
El parche acaba de ser liberado. Justo antes de que se venciera el plazo límite establecido por la propia compañía. Pero Ormandy ha denunciado públicamente que en realidad no arreglaron nada de fondo, y sólo agregaron un segundo Token:
I just fixed the exploit and verified it still works. I would recommend asking BitTorrent to resolve this issue if you're affected, and it works in the default configuration so you probably are. Sigh.
— Tavis Ormandy (@taviso) 20 de febrero de 2018
El muchacho afirma que entonces sólo bastó con hacer un pequeño cambio en su exploit para volver a vulnerar la seguridad de uTorrent.
Ante tal situación, la recomendación, si están empecinados en seguir usando uTorrent, es que deshabiliten todas las funciones relativas al acceso remoto del programa.
The post uTorrent libera un parche de seguridad que no sirve appeared first on FayerWayer.
☛ El artículo completo original de York Perry lo puedes ver aquí
No hay comentarios.:
Publicar un comentario