Ma veletlenul a www.utorrent.hu-ra keveredtem (informaciokat keresve AIDA/everest-rol). Meglepodve lattam, hogy a uTorrent 1.6.1-rol azt irjak hogy bug-os, egy 2008-ban kiderult biztonsagi resre hivatkozva.

Ezt annak idejen privat trackeren olvastam, es nagy felhajtast keltett. Eloszor panikroham soport vegig a torrent oldalakon, es nehany tracker tiltotta is az 1.6.x-es verziot (vagy gondolkozni kezdett a tiltason). De ahogy a hirtelen felindulast felvaltotta a megfontolas, es figyelmes vizsgalat ala vettek az esetet, erdekes dolgok derultek ki.

Minden jel arra mutatott, hogy az 1.6, 1.6.1 klienseket egyaltalan nem erinti a hiba, nincs bennuk biztonsagi res. A Proof-of-Concept kodok sikertelenek voltak a regi, jol bevalt kliensekkel szemben, es csak az 1.7.x-es vonaltat erintettek.

A felfedezett hiba a felhasznalok altal kozolt adatok megjeleniteseben volt, ami csak akkor jelentkezett, ha a kliensben a torrent adatoknak a Peers ful volt aktiv. Konkretabban az unicode stringek dekodolasa volt a bunos, es azt lehetett kihasznalni. Sajat magam mellett tobben is kiprobaltak a PoC kodot, de csak ertelmetlen karakterek jelentek meg a Peers ablakban a peer mellett, a uTorrent klinesben semmilyen rendellenes mukodest nem okoztak. Nehanyan azt is allitottak, hogy az 1.6-os vonal egyaltalan nem is tartalmazott unicode kezelo kodot, amit ki lehetett volna hasznalni, igy az egesz 1.6 sebezhetoseg BS, es jol tudtak a uTorrentnel, hogy nem igaz.

Ebben az idoben volt a nagy felhaborodas, hogy a uTorrentet egy media jogok vedelmehez kotheto tarsasag vette meg, igy mindent amit a felvasarlas ota kiadtak az ordogtol valo es kerulni kell. En nem allitom, hogy hatso kapu van az uj kliensekben, de mindenesetre a tulajdonos reakcioja erdekes volt. Az 1.7-es vonalban kiderult hiba apropojan a uTorrent propaganda gepezete mindent elkovetett, hogy meggyozze az embereket hogy az osszes regi kliens halalos hibat rejt, es mindenki aki azokat hasznlja az eletevel jatszik. Mikozben a hiba csak bizonyos korulmenyek kozott jon elo, es a regi klienseket egyaltalan nem is erinti. Egyszeruen az 1.6.1-es verzio tul jora (es biztonsagosra) sikerult. (az eredeti programozoja meg ertett a dolgokhoz) Ezt az urugyet probaltak meg megragadni, hogy a felhasznalokat ravegyek vegre valtsanak az uj verziora, attol fuggetlenul, hogy ketsegeik vannak az uj verziok megbizhatosagarol (spyware). Megprobaltak belekeverni az 1.6-ot, osszemosni az 1.7 sebezhetosegevel, mikozben az alaposabb vizsgalatok azt mutattak, hogy az 1.6.1 nem sebezheto.

Ennek ellenere tobbek kozott a uTorrent hivatalos oldalan meg mindig riogatjak a nepet, hogy ha nem a legujabb verziot hasznalod, akkor virusos leszele es hasonlok. Kulonosen agresszivak az 1.6 es 1.6.1 ellen, viszont semmi konkretumot nem adnak, hogy milyen bugrol van szo. Ez sokkal inkabb vallasi szonoklatnak, tudomanyuldozesnek latszik, mindenfele megalapozottsag nelkuli felelemkeltesnek. Ha az 1.6-ot hasznalod pokolra fogsz kerulni, ha ezt meg mered kerdojelenzi akkor is.

Rendesen megjarattam a google-t, es a uTorrent forum keresojet az 1.6.1-ben talalhato barmilyen bug letezeserol szolo informaciok utan kutatva, de mindnek az lett az eredemenye, hogy cafoljak a bug letezeset az 1.6-os vonalban.
http://forum.utorrent.com/viewtopic.php?id=68934&p=2
A sorzozato megalapozas nelkuli remisztgetesek utan az egyik felhasznalo megkerdezi, hogy tudjak-e barmivel alatamasztani kijelenteseiket, vagy csak a felelem hadjarat propaganda modszeret alkalmazzak.

FUD
A hivatkozott hiba:
http://aluigi.altervista.org/adv/ruttorrent-adv.txt
http://secunia.com/advisories/28533/
http://seclists.org/dailydave/2008/q3/att-155/Stack_Overflow_in_uTorrent_-_Kidd_pdf.bin

Az utobbi az 1.6.1-ben javitva lett “– Fix: Fix malformed .torrent exploit” es az 1.6-ban is csak ketes forrasbol szarmazo torrentekkel hasznalhato ki. Emberi beavatkozas szukseges hozza, nem tavoli behatolas. Egy torrent ellenorzo programmal kivedheto lenne.

Az elobbihez pedig a riogatok forum hozzaszolasaival ellentetben, nem eleg az IP cim es uTorrent TCP port, de kell hozza a torrent hash is. (amit esetleg a forgalom monitorozasaval lehetne megtudni) Ezen kivul a PoC kod csak akkor hatasos, ha az adott torrent-hez tartozo Peers ablak van megnyitva. Arrol nem is beszelve, hogy az 1.6.1-re latszolag semilyen hatasa nincs, azon kivul, hogy a hackelo peer mellett olvashatatlan random karakterek jelennek meg. Ellentetben az altalam tesztelt 1.7.1, 1.7.4 ami kapcsolodas es peers tab megnyitasa utan lathato modon teleirta az informacios mezoket a GUI-n, majd a tabrol tovabb lepve lefagyott…