Le mois dernier, le chercheur en sécurité Tavis Ormandy de Project Zero (Google) a évoqué la découverte de vulnérabilités de type exécution de code à distance affectant des clients BitTorrent qualifiés de populaires. Seul le nom de l'application Transmission avait alors été cité.

C'est désormais au tour de nul autre que µTorrent, le client léger BitTorrent qui est dans le giron de BitTorrent Inc. Deux vulnérabilités concernent le client officiel sur ordinateur et la version web permettant de diffuser des torrents depuis le navigateur par défaut.

" Par défaut, µTorrent crée un serveur RPC via HTTP sur le port 10000 (µTorrent sur ordinateur) ou 19575 (µTorrent Web). Il y a plusieurs problèmes avec ces serveurs RPC qui peuvent être exploités par n'importe quel site web utilisant XMLHTTPRequest() ", écrit Tavis Ormandy.

Il ajoute : " Pour être clair, consulter n'importe quel site est suffisant pour compromettre ces applications. "

Comme la fois précédente, le chercheur en sécurité prolifique mentionne une technique de DNS Rebinding (un attaquant dans un réseau peut accéder à une application web dans un autre réseau) pour permettre une attaque à distance. L'attaque serait néanmoins plus limitée avec µTorrent sur l'ordinateur.

Dans les notes de version de la bêta de µTorrent 3.5.3 du 15 février, il est fait mention de corrections de sécurité à la suite d'un rapport de Tavis Ormandy. Actuellement, la version stable est 3.5.1. La correction de la vulnérabilité devrait donc intervenir dans les prochains jours.

Pour µTorrent Web, le patch idoine est dans la version 0.12.0.502. Toutefois, Tavis Ormandy a émis des doutes en s'apercevant de l'ajout d'un deuxième token à µTorrent Web qui ne résout pas le problème de DNS Rebinding, mais a simplement mis en échec son exploit qu'il a modifié par la suite.