uTorrent 客戶端漏洞可讓流氓網站控制你的電腦

點對點分享應用程式 BitTorrent 和其輕量版 uTorrent 一直都是綁架軟體的最愛。Google 研究員 Tavis Ormandy 最近發佈詳細報告，指 Windows 版本的客戶端裡存有 DNS 的重新綁定漏洞，駭客可藉此改變受害者的網頁域名，讓他們可以獲得電腦的存取權。駭客透過遙距執行代碼，把惡意軟體下載到 Windows 的啟動資料夾（下次開機時就會啟動）、提取下載文件，以及查看下載歷史。這漏洞存在於所有未經修補的版本，包括 uTorrent Web。幸好是這漏洞在 12 月回報之後，BitTorrent 已經推出針對的補丁，可是 Ormandy 卻擔心使用者會因為溝通不足而沒有更新軟體。BitTorrent 工程副總裁 Dave Rees 向我們表示傳統客戶端已經在上週釋出的 beta 版修復，穩定版則會在本週內推出。Ormandy 同時也有擔心 BitTorrent 沒有恰當地修正 uTorrent Web，但 Rees 也有解釋他們也已經修補相關的漏洞。

雖然目前仍沒有證據顯示這漏洞已經被駭客廣泛應用，但為了安全的考量，各位有使用 BitTorrent 和 uTorrent 的朋友還是請盡速更新客戶端吧。

來源: Tavis Ormandy (Twitter), Chromium.org

經由: TorrentFreak, Ars Technica, Engadget