La vulnerabilidad fue descubierta por Tavis Ormandy, investigador de seguridad de Google, quien previamente dijo que revelaría una serie de "fallos de ejecución remota de código" en clientes de torrents. BitTorrent ha lanzado un 'parche' en la última versión Beta y espera reparar la vulnerabilidad de uTorrent a finales de esta semana.

La vulnerabilidad, según Tavis Ormandy, investigador de seguridad de Google Project Zero, hace posible que cualquier sitio web visitado por un usuario controle las funciones clave tanto en la aplicación de escritorio uTorrent para Windows como en uTorrent Web. La mayor amenaza la plantean los sitios maliciosos que podrían explotar el fallo para descargar código malicioso en la carpeta de inicio de Windows, donde se ejecutará automáticamente la próxima vez que se encienda el pc, pudiendo dar lugar a revelar información sensible.

En un correo electrónico enviado a última hora de la tarde del martes, Dave Rees, vicepresidente de BitTorrent, dijo que el fallo se había corregido en una versión beta de la aplicación de escritorio uTorrent para Windows. Sin embargo, un estudio del parche introducido demostró que, en realidad, no protege del fallo de seguridad, sino que simplemente introduce un segundo token en uTorrent Web para romper el exploit de Tavis, exploit que ya ha sido actualizado y que, como era de esperar, sigue funcionando a la perfección. Por el momento solo queda esperar a que BitTorrent asuma el fallo de seguridad en uTorrent y se digne a solucionarlo como es debido.

Las personas que tienen la aplicación de escritorio uTorrent para Windows o uTorrent Web instalada deben dejar de usarlas rápidamente hasta actualizar a una versión que solucione estas vulnerabilidades críticas.

Enlace a noticia