Projektanci popularnego klienta sieci BitTorrent, aplikacji uTorrent, opublikowali zaktualizowaną wersję programu, w której załatano lukę pozwalającą atakującemu na załadowanie złośliwego kodu do pamięci komputera ofiary.

Problem związany jest z dynamicznie dołączanymi bibliotekami DLL, a raczej sposobem przeszukiwania ścieżki wskazującej ich położenie. System poszukuje bibliotek w określonych miejscach, w tym również w katalogu z którego zostaje wywoływany plik, który użytkownik chce otworzyć (o ile nie podano pełnej ścieżki do biblioteki). Wystarczy więc umieścić w tym samym katalogu, co plik, który ma otworzyć ofiara, specjalnie spreparowaną DLL-kę i można rozpoczynać atak.

Błąd ten dotyczy ponad 40 aplikacji, w tym przeglądarek Safari i Firefox, wielu produktów Microsoftu i Adobe Systems, a także Skype’a i uTorrenta.

Ten ostatni, w wersji 2.0.4, jest już wolny od wady. Zespół tworzący klienta Bittorrent uspokoił, że do tej pory nie odnotowano ataków z wykorzystaniem luki DLL.

Problem z DLL jest poważny - Microsoft nie jest w stanie załatać tej luki, muszą się tym zająć sami producenci aplikacji.

źródło: computerworld.com