Kaarlo Räihä
13. elokuuta, 2008 18:21
Suosituista BitTorrent- ja µTorrent-ohjelmista on löytynyt kriittiseksi luokiteltu tietoturva-aukko, jonka avulla vihamieliset tahot voivat suorittaa kyseisiä ohjelmia käyttävissä järjestelmissä omaa ohjelmakoodia.
Tietoturva-aukko liittyy ohjelmien .torrent-tiedostojen käsittelyyn, joten haavoittuvuuden hyödyntäminen vaatii sen, että käyttäjät avaavat .torrent-tiedostoja jommalla kummalla ohjelmalla. BitTorrentista ei ole toistaiseksi julkaistu korjattua versiota, mutta µTorrentin uusimmassa 1.8-versionumerolla varustetussa julkaisussa tietoturva-aukko on jo korjattu. BitTorrent-ohjelmalle on kuitenkin luvattu julkaista ongelman korjaava päivitys mahdollisimman pian, mutta ennen päivityksen julkaisua kannattaa BitTorrent-ohjelman käyttäjien olla varuillaan .torrent-tiedostoja avatessa.
Ongelma on erittäin ikävä siitä syystä, että molemmat ohjelmat ovat todella suosittuja torrent-piireissä ja monien käyttäjien internet-selaimet avaavat automaattisesti .torrent-tiedostoja kyseisten ohjelmien avulla. Haavoittuvuudesta ilmoituksen tehneen henkilön mukaan tietoturva-aukko on ollut molemmissa ohjelmissa vähintään pari vuotta, joten kyseistä aukkoa on saatettu mahdollisesti hyödyntää esim. bottiverkkojen luomisessa.
Haavoittuvuus saattaa esiintyä myös muissakin ohjelmissa, jotka käyttävät BitTorrent-ohjelman koodia ohjelman osana, joten haavoittuvuudelle alttiita ohjelmia saattaa olla lisää.