Компьютеры пользователей BitTorrent под угрозой из-за уязвимости

Олег Иванов 16 Января 2018 - 10:20

...

Компьютеры пользователей BitTorrent под угрозой из-за уязвимости

В популярном приложении Transmission BitTorrent обнаружена критическая уязвимость, позволяющая веб-сайтам выполнять вредоносный код на компьютерах пользователей. Об этом сообщает эксперт проекта Google Project Zero.

Исследователь Тэвис Орманди на прошлой неделе опубликовал код, доказывающий наличии бреши, а также подробное описание уязвимости, которую этот код эксплуатирует. Как правило, участники проекта Project Zero не публикуют информацию об обнаруженных недостатках в течение 90 дней или пока разработчик не выпустит исправление.

Однако в этом случае конфиденциальный отчет, отправленный господином Орманди Transmission, содержал патч, полностью устраняющий данную брешь. Таким образом, эксперт опубликовал подробности уязвимости уже спустя 40 дней после ее обнаружения, ссылаясь на то, что разработчики так и не удосужились поставить патч.

Также Орманди отметил, что опубликованная информация поможет проектам вроде Ubuntu самим исправить недостаток.

«Меня расстраивает тот факт, что разработчики Transmission никак не реагируют на личную переписку. Поэтому я решил вынести обсуждение на публику, так как это позволит дистрибутивам применить исправление самостоятельно», — говорит господин Орманди.

Разработчик Transmission, по словам Ars, утверждает, что патч будет выпущен «как можно скорее». При этом он отметил, что уязвимость можно использовать лишь тогда, когда пользователь активировал удаленный доступ и отключил защиту паролем.

Опубликованный Орманди код для эксплуатации бреши использует функцию Transmission, позволяющую пользователям управлять приложением BitTorrent с помощью своего веб-браузера. Также исследователь отметил, что большинство пользователей не включают защиту паролем, так как убеждены, что интерфейсом приложения может управлять только человек, у которого есть физический доступ.

Орманди отметил, что его код работает на Chrome и Firefox в Windows и Linux, однако эксперт полагает, что другие платформы и браузеры также уязвимы.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 18 Марта 2026 - 11:50

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Отраслевые ассоциации просят сохранить доступ к зарубежным мессенджерам

Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» обратилась в правительство с просьбой сохранить возможность рабочей коммуникации через мессенджеры WhatsApp и Telegram. Соответствующее письмо исполнительный директор АРПП Ренат Лашин направил ещё в феврале.

Как отметил сам Ренат Лашин в комментарии для «Ведомостей», ограничения в работе наиболее популярных зарубежных мессенджеров создают серьёзные препятствия для компаний-экспортёров.

В ассоциации предложили определить круг организаций, для которых такие каналы связи критически важны для взаимодействия с зарубежными партнёрами.

Глава другой отраслевой ассоциации — НП «Руссофт», состав которой во многом пересекается с АРПП, Леонид Макаров в своём официальном телеграм-канале привёл результаты опроса, согласно которым ограничения в работе Telegram создают неудобства для 90% участников ассоциации.

В комментарии для «Ведомостей» Минцифры предложило использовать мессенджер MAX. Однако, как отметил Леонид Макаров, у этого решения есть два существенных недостатка: отсутствие ряда необходимых функций и недостаточная санкционная устойчивость. В результате, по его словам, зарубежные партнёры могут склонять российских экспортёров к использованию других иностранных продуктов, которые также способны создавать серьёзные риски.

«В данной ситуации выходом может быть заключение соглашения между дружественными странами о применении децентрализованного решения, аналогичного электронной почте, где независимые почтовые серверы обмениваются сообщениями по стандартным протоколам, а клиентская часть имеет открытый исходный код. Клиенты в этих странах получают равные возможности для коммуникации, а сами страны несут полную ответственность за соблюдение общих стандартов безопасности и контроля», — предложил Леонид Макаров.

«Формально компании могут использовать средства обхода блокировок, — отметил в комментарии для «Ведомостей» председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. — Но складывается ситуация, при которой корпоративные требования безопасности запрещают это, а правила бизнеса не позволяют общаться с клиентами и заказчиками с личных устройств».

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!