1. TugaTech » Software » Noticias de Software

Siga-nos

Realize o Login na sua conta ou Registe-se para participar.

transmission

 

Recentemente foi identificada uma falha de segurança que afeta o cliente de torrents “Transmission”, podendo levar à instalação de malware nos sistemas.

 

A falha foi descoberta pelo investigador Tavis Ormandy, o qual faz parte do “Project Zero” da Google, a partir da aplicação Transmission. Segundo o mesmo, a falha encontra-se sobre o sistema de gestão remota do Transmission, no qual os utilizadores podem gerir o programa remotamente a partir da interface web.

Utilizando uma técnica conhecida como “DNS rebinding”, um atacante poderá explorar a falha para forçar os utilizadores a visitarem sites maliciosos. De notar que este ataque apenas pode ser realizado caso a gestão remota seja ativada sem qualquer método de proteção via password.

 

Este tipo de falha é considerado de baixa complexidade, o que o torna ainda mais grave para os consumidores. Entre as possíveis tarefas que o atacante poderá realizar encontra-se a modificação de parâmetros do download de torrents e a descarga de potenciais vírus e malware para o sistema. Além disso, o Transmission também permite que certos comandos sejam realizados depois do download ser finalizado, o que pode ser explorado para ativar malware.

 

exemplo do ataque

 

Ormandy afirma que os programadores responsáveis pelo Transmission foram informados da falha e a respetiva correção foi também fornecida, no entanto não foi aplicada até ao momento. De relembrar que o Project Zero da Google apenas divulga publicamente as falhas cerca de 90 dias depois destas terem sido descobertas.

 

De acordo com o portal Ars Technica, um programador responsável pelo Transmission afirmou que a correção da falha deve ser aplicada “o mais rapidamente possível”, mas não foram adiantados detalhes de quando isso irá realmente acontecer.

Entretanto, e para evitar que a falha seja explorada, o sistema de gestão remota do programa de torrents deve ser configurado com uma password segura para acesso.







Aplicações do TugaTechAplicações TugaTechBlog TugaTechBlog do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech