流行的μTorrent软件存在漏洞，黑客可以远程控制你的电脑

如果你已经安装了世界上最流行的torrent下载软件μtorrent，那么你应该尽快下载它最新的Windows版本。

谷歌在Project Zero的安全研究人员在“WindowsμTorrent桌面应用程序”和新推出的“μTorrent Web”中发现了一个严重的远程代码执行漏洞，该漏洞允许用户直接下载和流式传输Torrent到其Web浏览器中。



然而，Project Zero研究人员塔维斯·奥曼迪发现，这些RPC服务器存在一些问题，远程攻击者可以在几乎没有用户交互的情况下控制torrent下载软件。

据Ormandy称，uTorrent应用程序容易受到一种叫做“域名系统重新绑定”的黑客技术的攻击，这种技术可能允许用户访问的任何恶意网站在用户的计算机上远程执行恶意代码。
要执行DNS重新绑定攻击，只需创建一个具有DNS名称的恶意网站，该名称解析为运行易受攻击的uTorrent应用程序的计算机的本地IP地址。

奥曼迪解释说：“这需要一些简单的DNS重新绑定来远程攻击，但一旦你掌握了秘密，你就可以更改torrents保存到的目录，然后下载任何可写的文件。”。

公开发布的uTorrent软件的概念验证利用

Ormandy还为μTorrent Web和μTorrent desktop（1和2）提供了概念验证漏洞，它们能够通过域传递恶意命令，以便在目标计算机上执行。

上个月，奥曼迪展示了针对传输BitTorrent应用程序的相同攻击技术。

Ormandy在2017年11月报告了uTorrent客户的BitTorrent问题，并规定了90天的披露期限，但周二公布了一个补丁—；这几乎是首次披露后的80天。

另外？在奥曼迪发现自己的漏洞利用在默认配置下继续成功运行，只需稍加调整后，就在同一天重新发布了新的安全补丁。

“这个问题仍然可以利用，”奥曼迪说。“该漏洞现在是公开的，因为有补丁可用，BitTorrent已经耗尽了90天的时间。”

“我认为受影响的用户没有其他选择，只能停止使用uTorrent Web，联系BitTorrent并请求一个全面的补丁。”

立即修补你的uTorrent软件！

该公司向用户保证，Ormandy it报告的所有漏洞都已通过发布以下产品得到解决：

• μTorrent稳定3.5.3.44358
• BitTorrent稳定7.10.3.44359
• μTorrent Beta 3.5.3.44352
• μTorrent Web 0.12.0.502

敦促所有用户立即更新其软件。