點對點分享應用程式 BitTorrent 和其輕量版 uTorrent 一直都是綁架軟體的最愛。Google 研究員 Tavis Ormandy 最近發佈詳細報告,指 Windows 版本的客戶端裡存有 DNS 的重新綁定漏洞,駭客可藉此改變受害者的網頁域名,讓他們可以獲得電腦的存取權。駭客透過遙距執行代碼,把惡意軟體下載到 Windows 的啟動資料夾(下次開機時就會啟動)、提取下載文件,以及查看下載歷史。這漏洞存在於所有未經修補的版本,包括 uTorrent Web。幸好是這漏洞在 12 月回報之後,BitTorrent 已經推出針對的補丁,可是 Ormandy 卻擔心使用者會因為溝通不足而沒有更新軟體。BitTorrent 工程副總裁 Dave Rees 向我們表示傳統客戶端已經在上週釋出的 beta 版修復,穩定版則會在本週內推出。Ormandy 同時也有擔心 BitTorrent 沒有恰當地修正 uTorrent Web,但 Rees 也有解釋他們也已經修補相關的漏洞。

雖然目前仍沒有證據顯示這漏洞已經被駭客廣泛應用,但為了安全的考量,各位有使用 BitTorrent 和 uTorrent 的朋友還是請盡速更新客戶端吧。