Propust u popularnom Transmission BitTorrent programu omogućava daljinsko hakovanje računara

Vesti, 16.01.2018, 11:00 AM

U popularnoj aplikaciji Transmission BitTorrent otkriven je propust koji može omogućiti napadačima da daljinski pokrenu zlonamerni kod na računarima korisnika BitTorrenta i preuzmu kontrolu nad njima.

Ovaj propust otkrio je Googleov Project Zero tim, a jedan od istraživača tima, Tavis Ormandi, objavio je i dokazni koncept napada i to posle samo 40 dana od otkrića propusta.

Project Zero obično otkriva ranjivosti posle 90 dana od datuma kada ih tim prijavi proizvođačima programa ili onda kada proizvođač objavi zakrpu.

Međutim, u ovom slučaju, istraživači Project Zero tima požurili su sa objavljivanjem informacija o ovom propustu, objavljujući ih 50 dana pre isteka vremenskog roka koje Project Zero ostavlja proizvođačima softvera. Objašnjenje za to je da programeri programa Transmission nisu primenii već spremnu zakrpu koju su im istraživači Project Zero tima obezbedili još pre mesec dana.

Ormandi je kritikovao programere aplikacije i rekao da je on predložio da se informacije o propustu objave, kao i zakrpe tako da ih distribucije mogu nezavisno primeniti. "Pretpostavljam da neće odgovoriti, ali videćemo", kaže Ormandi.

Ormandi je objavio dokazni koncept napada (PoC) u kome se iskorišćava određena funkcija aplikacije Transmission koja omogućava korisnicima da kontrolišu aplikaciju BitTorrent sa svojim browserom.

Ormandi je rekao da njegovi exploiti funkcioišu i u Chromeu i u Firefoxu na Windowsu i Linuxu (Fedora i Ubuntu). On smatra da su i drugi browseri i platforme podložni napadima.

Ormandi je rekao da je ovaj propust (CVE-2018-5702) "prvi od nekoliko propusta u daljinskom pokretanju u različitim popularnim torrent klijentima", iako nije imenovao druge torrent aplikacije zbog toga što rok od 90 dana za njih još uvek nije istekao.

Programerski tim aplikacije Transmission se oglasio i rekao da će ispravka biti dostupna što je pre moguće, ne navodeći tačan datum kada bi se to moglo dogoditi.