Специалистът Tavis Ormandy от проекта на Google Project Zero съобщава за критична уязвимост при бит торент клиента Transmission, която предоставя възможност на зложелатели да придобият пълен контрол върху компютри, които използват Windows и Linux.
Според него кибер престъпник може да изпълни зловреден код, използвайки уязвимостта в торент клиента, експлоатирайки бъгове в някои от функциите на Transmission. Ormandy обяснява, че атакуващите се възползват от техниката domain name system rebinding, преработвайки функция в Transmission, позволяваща получаването на контрол върху интерфейса на приложението от уеб браузър.
Атаката е насочена срещу потребители, с операционни системи Windows и Linux, използващи браузърите Mozilla Firefox и Google Chrome. Ormandy обаче съобщава, че това е само първата уязвимост от няколко такива и при други популярни торент клиенти, но първо съобщава за Transmission.
Специалистите, които работят в Project Zero вече са уведомили разработчиците на торент клиентите и са ги уведомили, че техните продукти могат да станат жертва на зложелатели с използването на откритата уязвимост.
Преди да оповести информацията публично, Ormandy е уведомил разработчиците на Transmission, но те са реагирали нетрадиционно като са публикували информацията само 40 дни след предупреждението, а обикновено периодът е 90 дни, за да могат различните разработчици да имплементират поправката на бъга и при тях.
Ormandy обаче е притеснен, че никой от разработчиците не му отговаря и казва, че никога не е виждал подобен случай, когато уязвимост не е затворена за такъв дълъг период отвреме, когато говорим за отворен проект.
„Бих казал, че ако говорим за отворени проекти, трябва да получа отговор в рамките на няколко часа, а не на месеци„, допълва той.
