Sicherheitslücken in uTorrent gefährden Nutzer

Article by · 21. Februar 2018 ·

Mehrere heute bekannt gewordene Sicherheitslücken im P2P-Programm uTorrent sorgen dafür, dass Dritte die Kontrolle über den eigenen Computer übernehmen und alle Downloads stehlen können.

uTorrent von der Bittorrent Inc. aus San Francisco ist eines der am häufigsten genutzten Filesharing-Programme überhaupt. Bekannt gemacht wurden die neuen Lücken durch den Sicherheitsforscher Tavis Ormandy von Googles Project Zero.

Betroffen ist von den Lücken sowohl der Client für Windows, als auch die Web App von uTorrent, die im Browser ausgeführt wird. Bei der Ausnutzung kann Schadcode heruntergeladen werden, um diesen beim nächsten Bootvorgang des Windows-Rechners zu integrieren. Die Hacker können dadurch die Kontrolle über die betroffenen PCs übernehmen und natürlich auch auf alle heruntergeladenen Dateien zugreifen.

In der neuen Beta Version der Filesharing-Software wurden die Sicherheitslücken bereits gefixt, wie das News-Portal Ars Technica heute berichtet hat. Die reguläre Version von uTorrent beinhaltet den Bugfix allerdings noch nicht. Auch die Web App habe man schon behandelt, hieß es aus den Reihen des Herstellers, um die Nutzer nicht weiter zu gefährden. Allen Anwendern wird geraten, schon jetzt vorab die neue Beta Version zu installieren, um sich vor möglichen Angriffen zu schützen.

Tavis Ormandy hat sich derweil per Twitter gemeldet. Die Art und Weise, wie der Hersteller die Bugs behandelt hat, kann leicht von Hackern umgangen werden. Nur weil seine Variante derzeit nicht mehr geht, sind die Nutzer nicht sicher vor weiteren Angriffen. Eine kleine Modifikation war schon ausreichend und die Software war nach Auskunft des Sicherheitsforschers so anfällig wie zuvor. Diesbezüglich muss sich die Bittorrent Inc. etwas Neues einfallen lassen.

 

Von den 2015 bekannt gewordenen Plänen die Software grundsätzlich kostenpflichtig zu gestalten, ist man wieder abgewichen. Wer will, kann sich den Client kaufen, um diesen komplett werbefrei nutzen zu können. Die reguläre Version kostet jährlich knapp 5 US-Dollar, die Pro-Version, die einige Features zusätzlich bietet, schlägt jedes Jahr mit satten 20 US-Dollar zu Buche. Wer’s braucht… ?

Mehr zu diesem Thema:

1 Comment

  • comment-avatar

    Ist es bei Project Zero nicht brauch die Entwickler deutlich vor der Veröffentlichung in Kenntnis zu setzen um ihnen Zeit zu geben den Bug zu fixen bevor man die Lücke öffentlich macht?

    Und obwohl die Lücke dann ja bekannt war und ihnen ja klar gewesen sein müsste dass es zu einen gegebenen Termin zu einer Veröffentlichung kommen wird war es ihnen nicht möglich den Bug bis zu diesem Datum in der Live-Version zu fixen sondern User auf die Beta zu verweisen?


Leave a comment