uTorrent 客户端漏洞可让流氓网站控制你的电脑

点对点分享应用程序 BitTorrent 和其轻量版 uTorrent 一直都是绑架软件的最爱。Google 研究员 Tavis Ormandy 最近发布详细报告，指 Windows 版本的客户端里存有 DNS 的重新绑定漏洞，骇客可借此改变受害者的网页域名，让他们可以获得电脑的存取权。骇客通过远程执行代码，把恶意软件下载到 Windows 的启动资料夹（下次开机时就会启动）、提取下载文件，以及查看下载历史。这漏洞存在于所有未经修补的版本，包括 uTorrent Web。幸好是这漏洞在 12 月回报之后，BitTorrent 已经推出针对的补丁，可是 Ormandy 却担心使用者会因为沟通不足而没有更新软件。BitTorrent 工程副总裁 Dave Rees 向我们表示传统客户端已经在上周释出的 beta 版修复，稳定版则会在本周内推出。Ormandy 同时也有担心 BitTorrent 没有恰当地修正 uTorrent Web，但 Rees 也有解释他们也已经修补相关的漏洞。

虽然目前仍没有证据显示这漏洞已经被骇客广泛应用，但为了安全的考量，各位有使用 BitTorrent 和 uTorrent 的朋友还是请尽速更新客户端吧。

来源: Tavis Ormandy (Twitter), Chromium.org

经由: TorrentFreak, Ars Technica, Engadget