Luka w programie do torrentów. Producent ignoruje zagrożenie, łatać trzeba samemu
W aplikacji Transmission, kliencie sieci BitTorernt, wykryto poważną lukę. Umożliwia ona atakującemu przejęcie kontroli nad komputerem ofiary, dzięki wykorzystaniu przeglądarki. Choć odkrycie dotyczy bezpośrednio Transmission, ponieważ nie jest to jedyna aplikacja wykorzystująca taką funkcjonalność, luka może być także obecna w innych tego typu programach.
Szczegóły działania ataku opisał kilka dni temu na GitHubie Tavis Ormandy, członek zespołu Google Project Zero, który odkrył lukę. W skrócie operacja atakującego polega na konfiguracji własnego serwera DNS działającego z kontrolowaną subdomeną w taki sposób, by przeglądarka oczekując na jego zadziałanie zdążyła anulować operację z powodu wygaśnięcia wpisu, a to wystarczy, by w tym przypadku zdobyć uprawnienia do czytania i ustawiania nagłówków.
Łatka jest gotowa od ponad miesiąca
Jednak nie mniej ciekawa, niż sama luka, jest postawa zespołu programistów zajmujących się aplikacją Transmission. Okazuje się, że do teraz nie pojawiła się z jego strony żadna reakcja, mimo, że Ormandy przedstawił całą sytuację już 40 dni temu w prywatnej wiadomości wraz ze szczegółowym opisem i gotową do zastosowania łatką. Póki co wychodzi więc na to, że aplikację trzeba załatać samodzielnie, korzystając z przytoczonych źródeł na GitHubie.
To frustrujące, (...) zasugerowałem więc upublicznienie sprawy, by dystrybutorzy mogli załatać lukę we własnym zakresie. Zakładam, że [zespół programistów] nie odpowie, ale zobaczymy – dodaje Ormandy. Google Project Zero zwykle upublicznia informacje o lukach po 90 dniach od pierwszego zgłoszenia, jeśli programiści jej nie załatają lub szybciej, kiedy wcześniej pojawi się łatka.
Ormandy dodaje także, że w przypadku projektu z otwartym źródłem (jakim jest Transmission), nigdy wcześniej nie zdarzyło się, by na reakcję programistów trzeba było czekać tak długo, stąd pojawiła się decyzja o upublicznieniu sprawy już teraz. Powiedziałbym, że średni czas reakcji mierzony jest w godzinach, a nie miesiącach... – trudno się więc dziwić, że w sytuacji, gdy gotowe rozwiązanie twórcy aplikacji otrzymali ponad miesiąc temu, sprawa została upubliczniona z powodu braku reakcji na zgłoszenie.
