据惠普0day计划(ZDI)于上周发布的公告称,BitTorrent Sync上存在一个高危漏洞,攻击者可远程执行任意代码。
BitTorrent Sync是 BitTorrent网络技术公司推出的可在多台电脑间进行点对点自动分享/同步文件的应用程序,由于没有中间服务器,传输过程加密,安全自己掌握,并且文件大小仅受到硬盘限制。Windows/Mac OS X/Linux和移动平台均支持该应用程序,用户在本地和远程设备上均可同步传输文件。
Andrea Micalizzi,又名rgod,也是该命令注入漏洞(CVE-2015-2846)的发现者。他在发现这一漏洞之后并没有直接将其报告给BitTorrent公司,而是于去年11月份通过ZDI将自己的发现报告给了BitTorrent公司。
该问题存在于BitTorrent Sync使用 btsync协议处理URL的过程中。攻击者首先要诱使受害者打开一个以btsync:开头的特殊形式链接,在这个特殊形式的链接中注入任意代码参数,然后传递给BTSync.exe执行。
该漏洞的危险程度被标记为高,CVSS指数为7.5。虽然高危,但也不是很容易被利用的,攻击者只有在成功诱骗受害者访问一个恶意网页或者打开一个特制文件的情况下,才能在受害者设备上执行任意代码。
比较滑稽的是,虽然研究者已经发现了这一问题,但是却不清楚具体哪个版本的BitTorrent Sync存在漏洞。好在明确的是,2015年3月18日发布的最新版本2.0.93已经修复了这一问题,所以建议用户们将其BitTorrent Sync升级到该版本。
* 参考来源 securityweek ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)