image

BitTorrent Sync verhelpt aanval via btsync-link

zaterdag 4 april 2015, 18:19 door Redactie, 2 reacties

De makers van BitTorrent Sync, een programma waarmee gebruikers een eigen privécloud kunnen opzetten, hebben een beveiligingslek gepatcht waardoor een aanvaller via kwaadaardige btsync-links gebruikers kon aanvallen. De software bevatte een kwetsbaarheid die ontstond bij het verwerken van btsync-links. Door een gebruiker naar een kwaadaardige pagina te lokken of een kwaadaardig bestand te laten openen kon een aanvaller willekeurige code met de rechten van de ingelogde gebruiker uitvoeren.

De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Andrea Micalizzi, die dit bij het Zero Day Initiative (ZDI) meldde. Dit is een beloningsprogramma van HP Tippingpoint dat onderzoekers voor bugmeldingen betaalt. Vervolgens waarschuwde HP op 6 november vorig jaar BitTorrent. In welke versie de kwetsbaarheid aanwezig is wordt niet gemeld, behalve dat er een update is uitgekomen die het probleem oplost, zo blijkt uit de advisory van ZDI.

BitTorrent Sync laat gebruikers een persoonlijke cloud opzetten, waarbij er over verschillende apparaten en platformen van de gebruiker bestanden kunnen worden gesynchroniseerd. Zo is het mogelijk om bijvoorbeeld op een smartphone, laptop en desktop bestanden te synchroniseren. Zodra er op één van de apparaten een nieuw bestand verschijnt zal dit automatisch op de andere apparaten worden gesynchroniseerd, waarvoor het programma P2P-technologie gebruikt.

Reacties (2)
08-04-2015, 09:51 door FB - Bijgewerkt: 08-04-2015, 09:51
heeft iemand die enig idee heeft in welke versie dit probleem verholpen is?
09-04-2015, 13:39 door Acumen - Bijgewerkt: 09-04-2015, 13:40
Door FB: heeft iemand die enig idee heeft in welke versie dit probleem verholpen is?
De verwijzing naar https://www.getsync.com/ (vanuit http://www.zerodayinitiative.com/advisories/ZDI-15-115/) is wat magertjes en het blijft een beetje speculeren, maar op https://forum.bittorrent.com/topic/37907-is-14111-vulnerable-to-cve-2015-2846/?hl=cve-2015-2846 staat: "1.4.111 is not vulnerable to CVE-2015-2846"

Daarmee is het redelijkerwijs aannemelijk dat latere versies ook niet meer kwetsbaar zijn, maar garantie tot aan de downloadknop ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.