BitTorrent y uTorrent, son propensos a una vulnerabilidad que permite a un atacante la ejecución remota de código.

Son afectadas las versiones para Windows, Mac y Linux (estas últimas solo existen en BitTorrent).

El problema se debe a que la aplicación no realiza un correcto filtrado de la información enviada por el usuario.

Ambos son los clientes más populares utilizados para descarga de archivos P2P, utilizando el protocolo bittorrent, y fueron creados a partir del mismo código base.

Por defecto, los dos programas muestran una ventana con información detallada acerca del estado de la red y los rastreadores en uso, además de datos sobre otros clientes conectados, tales como el porcentaje de disponibilidad del torrent compartido, su dirección IP, país, velocidad, la cantidad de datos recibidos y enviados, y la versión del cliente.

Cuando el contenido de la ventana es visualizado por el usuario, estos datos (cadenas en formato unicode), son copiados a un búfer utilizado por la interfase gráfica.

Si esta cadena supera un determinado tamaño, puede sobrescribir información crítica, provocando el fallo del programa.

La explotación puede ser posible si un atacante se conecta a un puerto al azar abierto en el cliente, y envía datos manipulados para superar ciertos límites.

Cuando esta vulnerabilidad fue hecha pública, con prueba de concepto incluida, se pensaba que un ataque solo podría hacer que el programa dejara de responder, provocando una denegación de servicio. Información más reciente indica que la ejecución arbitraria de código con los mismos privilegios del usuario actual, es posible,

La vulnerabilidad afecta a los siguientes productos:

- BitTorrent 6.0 (y versiones anteriores)
- uTorrent 1.7.5 (y versiones anteriores)
- uTorrent 1.8-alpha-7834 (y versiones anteriores)

Se sabe que uTorrent 1.7.6, liberado inmediatamente después de haberse conocido la vulnerabilidad, corrige el problema.

También lo habría solucionado la versión 6.0.1 de BitTorrent, pero no ha sido confirmado al momento de publicarse esta alerta de seguridad.

Los usuarios de uTorrent pueden descargar la nueva versión desde el siguiente enlace:

[url]http://download.utorrent.com/1.7.6/utorrent.exe[/url]

BitTorrent 6.0.1 está disponible en el siguiente enlace:

[url]http://www.bittorrent.com/download?csrc=header[/url]


Referencias:

Peers static overflow in BitTorrent 6.0 and uTorrent 1.7.5
[url]http://www.securityfocus.com/archive/1/486426[/url]

BitTorrent and uTorrent Peers Window Remote Code Execution Vulnerability
[url]http://www.securityfocus.com/bid/27321/info[/url]

__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad

Me he bajado la version 177 del utorrent pero no encuentro el parche del Español, ¿alguien lo tiene o sabe de donde bajarlo?

__________________

[B][FONT="Arial Black"][SIZE="4"][COLOR="Red"]TRIPLE CORONA ESPAÑA 08-10-12[/COLOR][/SIZE][/FONT][/B]
[B][FONT="Impact"][SIZE="5"]CAMPEONES, CAMPEONES, OE,OE,OEEEEEEEEEE[/SIZE][/FONT][/B]
[B][FONT="Comic Sans MS"][SIZE="5"][COLOR="Indigo"]SALU2[/COLOR][/SIZE][/FONT][/B]

no ha salido todavia,

en su pagina tienes el del 1.76

Además, creo que el utorrent trae por defecto varias decenas de idiomas, y uno de ellos es el español: Opciones / Preferencias / Pestaña General.

__________________
Un saludo.

kolmo7.


[I][B](Socio Nº 10)[/B][/I]

Gracias ya lo tengo en cristiano

__________________

[B][FONT="Arial Black"][SIZE="4"][COLOR="Red"]TRIPLE CORONA ESPAÑA 08-10-12[/COLOR][/SIZE][/FONT][/B]
[B][FONT="Impact"][SIZE="5"]CAMPEONES, CAMPEONES, OE,OE,OEEEEEEEEEE[/SIZE][/FONT][/B]
[B][FONT="Comic Sans MS"][SIZE="5"][COLOR="Indigo"]SALU2[/COLOR][/SIZE][/FONT][/B]