Две версии клиента uTorrent содержат уязвимость, которая дает хакеру возможность выполнять код на системе, получать доступ к загружаемым файлам и отслеживать историю загрузок.
Проблему обнаружил эксперт Google Project Zero Тэвис Орманди. Уязвимость касается десктопной версии uTorrent для Windows и нового сервиса uTorrent Web.
Используя уязвимость, любой сайт, посещаемый пользователем, может захватить контроль над основными функциями клиента. Наибольшая угроза исходит от сайтов, которые могут задействовать уязвимость для того, чтобы загрузить вредоносный код в папку запуска Windows. После следующей загрузки компьютера код будет запущен автоматически. Каждый сайт, посещаемый пользователем, может заполучить доступ к загруженным файлам и истории загрузок.
Уязвимость устранили в бета-версии uTorrent для Windows, однако патч пока что не разослан пользователям финальной сборки. Исправленная версия uTorrent 3.5.3.44352 опубликована на сайте. В течение нескольких дней патч будет автоматически разослан. Пользователи uTorrent Web должны обновить сервис до версии 0.12.0.502.
Нейтрализовать уязвимость пока нельзя, поэтому пользователи должны на время прекратить работу с uTorrent до того, как будут установки обновления.
