A mediados de enero hablábamos en Omicrono de un grave bug de seguridad presente en algunos clientes de descarga de torrents; aunque en su momento, sólo se confirmó que Transmission era uno de ellos.

Tavis Ormandy, el descubridor del bug, forma parte de Project Zero, la división de seguridad de Google. La compañía se ha hecho famosa por dar un periodo de 90 días a los desarrolladores para arreglar los bugs descubiertos; incluso si para entonces no está solucionado, Google publica el bug igualmente para informar a los usuarios. Microsoft sabe muy bien las consecuencias de esta política de seguridad.

Un bug de seguridad de uTorrent permite entrar en nuestro equipo

Esta semana se ha anunciado que uTorrent también se ve afectado por el mismo bug de Transmission; sólo que en su momento Google no pudo hacerlo público ya que no había pasado suficientes días desde que avisaron a BitTorrent Inc, el desarrollador de uTorrent.

utorrent

La vulnerabilidad se aprovecha de una función muy común en clientes de torrent: el acceso a través de un navegador web. En vez de usar la interfaz del programa, podemos configurar y gestionar nuestros torrents conectándonos con un navegador web.

Si visitamos una página maliciosa, un atacante podría aprovechar este acceso para conseguir el control completo de nuestro sistema. Tienes más información en el artículo original.

El parche podría no solucionar nada

BitTorrent Inc. asegura que es consciente de esta vulnerabilidad, y que ya lanzó una actualización para uTorrent antes de que Google publicase el bug; sin embargo, Ormandy asegura que este parche no hace nada por solucionar el bug.

En vez de eso, parece que BitTorrent Inc. simplemente ha tapado el exploit creado por Ormandy, sin arreglar el bug en cuestión; en otras palabras, BitTorrent sólo ha tapado el método concreto que Ormandy usó para demostrar el bug.

Ormandy ya ha modificado su exploit y sigue funcionando como antes; sin embargo, BitTorrent Inc ha realizado declaraciones contrarias, afirmando que compartió el parche con Ormandy y recibió el visto bueno.

La versión beta 3.5.3.44352 ya incluye este parche, y se espera que a lo largo de esta semana esté disponible en la versión estable. Sin embargo, la gran duda es si realmente sirve para algo actualizar.