uTorrent : le client BitTorrent vulnérable

open security lock on computer keyboard - computer security breach conceptuTorrent, le client BitTorrent souffre d’une vulnérabilité indiscutable.

C’est un problème au niveau de la sécurité qui a été découvert par Tavis Ormandy, un chercheur en sécurité de Google, qui a précédemment dit qu’il révélerait une série de “codes d’exécution à distance” au sein des clients torrent.

BitTorrent Inc. a sorti un ‘patch’ dans la version Beta la plus récente et espère régler le client uTorrent stable un peu plus tard dans la semaine.

Avec une douzaine de millions d’utilisateurs en un jour, uTorrent a pendant longtemps été le client torrent le plus utilisé. Le logiciel a été présent pendant un peu plus d’une dizaine d’année et il est toujours utilisé pour shifter les petabytes de données de jour en jour.

Comme il n’y a pas eu beaucoup de mises à jour récemment, la maison mère BitTorrent Inc. fut signalé récemment comme ayant un sérieux problème au niveau de la sécurité.

Le défaut de sécurité en question a ete rapporte par le chercheur de vulnérabilité Google, Tavis Ormandy, qui a contacté BitTorrent pour la première fois en novembre dernier.

Le Projet Google Zero permet aux développeurs de regler les problemes de securite en 90 jours, mais avec cette limite de temps, BitTorrent est reste tranquille.

Un peu plus tard le mois dernier, Ormandy a encore une fois contacté Bram Cohen, chez BitTorrent Inc s’inquiétant que l’entreprise ne pourrait pas régler cette vulnérabilité a temps.

“Je ne pense pas que Bittorrent pourra faire une fermeture en 90 jours, avez-vous des contacts direct qui peuvent aider ? Je ne suis pas convaincu qu’ils comprennent la sévérité ou l’urgence de la situation,” a écrit Ormandy sur Twitter.

Pendant que les chercheurs de sécurité de Google aurait pu s’attendre a une réponse plus rapide, le probleme n’était pas ignoré. Afin de vous protéger sur le net, utilisez des VPN comme Hide My Ass, Vypr VPN, Nord VPN.

BitTorrent Inc doit toujours régler ce problème dans ce lancement stable, mais un patch a ete deploye dans la version Beta la semaine dernière.

Le vice président de l’ingénierie de BitTorrent, David Rees nous a informé que ce sera médiatisé dans le lancement régulier de cette semaine, si tout va bien.

Alors qu’aucun détail spécifique au sujet de cette vulnérabilité doit toujours être lancée, il est fort probable que c’est une exécution des défauts à distance.

Ormandy a précédemment exposé une vulnérabilité similaire dans Transmission, qu’il a dit qui est le “premier parmi plusieurs codes d’exécution des défauts à distance dans divers clients torrent populaire.”

BitTorrent Inc. nous a dit qu’ils ont partagé leur patch avec Ormandy, qui selon l’entreprise a confirmé que cela fixent les problemes de securité.

Les notes du lancement de uTorrent Beta

“Nous avons aussi envoyé la plateforme a Tavis et il a confirmé que cela s’adresse à tous les problemes de securite qu’il a rapporté,” nous a dit Rees told.

“Comme nous n’avons pas fait la promotion cette plateforme pour qu’elle soit stable, je vais réserver le reporting sur les détails du problème de sécurité et ses solutions pour le moment.”

BitTorrent Inc. planifie de donner plus de détails concernant ce probleme quand tous les clients sont patches. Alors il recommande aussi aux utilisateurs de rehausser le niveau de leurs clients, afin qu’ils ne soient plus à risque, et plus d’informations sera aussi disponible sur le site Google Project Zero.

Bien entendu, les personnes qui sont concernés au sujet de ce souci peuvent déjà actualiser vers le plus récente sortie uTorrent Beta tout de suite.

Ou, assumant que c’est lié à la fonctionnalité de la télécommande du client, désactivez cela pour le moment. La vulnérabilité affecte toutes les versions de uTorrent qui n’ont pas de patch, pas seulement ceux qui ont le Web UI actif.

Plus de détails concernant cette vulnerabilite ont été publie par Ormandy après que nous ayons fini cet article. C’est en effet un problème de rebinding de DNS qui permet aux gens externes de potentiellement exécuter le code à distance via la télécommande de uTorrent.
Aussi le patch de uTorrent ne semble pas être aussi solide que BitTorrent Inc. le pense, selon le chercheur de sécurité Google.

“Hmm, il semble que BitTorrent a tout juste ajoute un seconde jeton à uTorrent Web. Cela ne règle pas le problème de rebinding de DNS, ça vient tout juste de casser mon exploitation,” a t-il écrit.

BitTorrent inc a ecrit ce message :

“Le 4 décembre 2017, nous avons été mis au courant de plusieurs vulnérabilités au sein du uTorrent et pour les client Windows BitTorrent Windows.

Nous avons essayé de travailler tout de suite pour regler ce probleme. Notre solution est complète et elle est disponible dans la version beta la plus récente (build 3.5.3.44352 sorti le 16 février 2018).

Cette semaine, nous allons commencer pour délivrer cela à notre plateforme d’installation pour les utilisateurs. Tous les utilisateurs auront cette mise à jour automatique.

La nature de cette exploitation est comme celle d’une attaquante qui peut créer un URL qui causerait des actions pour accéder au client sans le consentement de l’utilisateur (e.g. ajoutant un torrent).

Une solution pour uTorrent Web est sorti selon BitTorrent Inc et les utilisateurs sont recommandés de mettre à jour cela a la plateforme la plus récente.

Désolé, les commentaires sont fermés pour cet article.

Voici le meilleur VPN de l'année 2018

  • P2P autorisé
  • Bitcoins acceptés
  • Politique d'absence de journaux
  • Onion over VPN

Garantie satisfait our remboursé dans les 30 jours

Meilleur VPN 2017
×

55% de réduction sur les abonnements Hidemyass de un an jusqu'au 16 Juillet Obtenez la promotion

Share This