Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kwetsbaarheid in uTorrent-client lijkt na patch nog niet te zijn verholpen

Een door Google gevonden lek in uTorrent dat volgens de ontdekker een website in staat stelt code uit te voeren en waarvoor BitTorrent een patch heeft uitgebracht, lijkt daarmee nog niet te zijn verholpen. Een soortgelijk lek kwam onlangs voor in torrentclient Transmission.

Het lek werd gevonden door Google-onderzoeker Tavis Ormandy, die eerder ook een lek bij Transmission vond. Net als bij deze torrentclient, maakt de onderzoeker gebruik van dns rebinding om zijn aanval uit te voeren. Volgens Ars Technica heeft Dave Rees van BitTorrent in een verstuurde e-mail aangegeven om de laatste bčtaversie van de uTorrent-desktopclient te downloaden, waarin de kwetsbaarheid zou zijn gefikst. Het gaat zowel om de desktopclient als de webversie van uTorrent.

Tavis Ormandy liet eerder op Twitter weten dat de patch van BitTorrent het dns rebinding-probleem niet heeft opgelost en enkel bewerkstelligde dat zijn eigen exploit niet meer werkte. Later meldde de onderzoeker dat hij zijn exploit weer werkend had gekregen, waarbij hij gebruikers oproept om BitTorrent te vragen het probleem op te lossen.

Door een doelwit dat de software heeft geďnstalleerd naar een speciale website te lokken, is het volgens Ormandy mogelijk om via die site met localhost te communiceren om zo commando's uit te voeren en bijvoorbeeld een exploit te downloaden.  De Google-onderzoeker heeft verschillende keren een proof-of-concept gepubliceerd. Hij wees BitTorrent vorig jaar november al op de kwetsbaarheid, maar gaf eind januari al aan dat BitTorrent het niet erg serieus leek te nemen.

Door

Nieuwsredacteur

70 Linkedin Google+

Submitter: A4553

Reacties (70)

Wijzig sortering
Qbittorent is the new uTorrent. Heeft deze ook last van deze kwetsbaarheid?

[Reactie gewijzigd door jozakin op 21 februari 2018 08:02]

Met Qbittorrent is mijn ervaring dat de snelheid (extreem) schommelt, zelfs bij breed beschikbare torrents zoals Ubuntu. Bij uTorrent is de snelheid veel stabieler en hoger bij dezelfde torrents. Zou graag gebruik maken van Qbittorrent, helemaal als er sprake is van een beveiligingslek bij uTorrent, maar ik merk dat het snelheidsverschil veel te hoog is.
Probeer µTP uit te zetten in QBittorrent (dus TCP only). Bij mij scheelde dit enorm veel, al helemaal via een VPN.
Net getest. Een tijdje laten lopen met TCP only. Na ca 10 minuten constant 4 peers. Geschatte downloadtijd 8 uur. Nu µTP ingeschakeld en snelheid schoot omhoog. Nu 11 peers en binnen 5 minuten stond het bestand op mijn schijf. Getest met qBittorrent 4.04 via VPN.

Conclusie: uitschakelen van µTP geeft hier een aanzienlijke vertraging...

Zeer lang fan geweest van µTorrent, maar sinds elke maand een nieuwe versie opgedrongen werd en bij die installatie een webpagina geopend werd, is mijn vertrouwen tot een dieptepunt gedaald.
Sinds enkele maanden gebruik ik qBittorrent en ben zéér tevreden. Aanrader.

[Reactie gewijzigd door Boekenkaft op 21 februari 2018 13:31]

µTP gaat gek doen op verbindingen met hoge(re) latencies, bijvoorbeeld met VPNs, daar ligt het probleem voor jou dus niet.
Bedankt voor de tip. Zal dit vanavond ook eens proberen.
Als je versie 4 of hoger gebruikt dan kan dat een bug zijn. Oude versies zijn qua snelheid stabiel hier.
Als dat zo is, dan is het voor mij nóg een reden om te wachten met upgraden vanwege allerlei vage bugs, zie ook de reacties onder versie 4.0.4.

[Reactie gewijzigd door Randfiguur op 21 februari 2018 18:52]

Is dat uberhaupt wel te vergelijken? Je peers kunnen in de tussentijd uitgeschakeld zijn etc.
Qbittorrent is voor mij ook de standaard keus, mede omdat hij opensource is.

Als ik kijk in de changelog van qbittorrent, dan lijkt het erop dat ze bijna een jaar geleden al gefixed hadden. Maar had geen tijd om te verifieren dat het om dezelfde 'dns rebinding' gaat.

Bron: https://www.qbittorrent.org/news.php
Utorrent 2.2.1 is the new utorrent. ;)
Noppe, vroeger was dit ook de standaard maar ben nu al jaren over naar qbittorrent. 2.2.1 laat niet toe om een torrent in volgorde te downloaden dus je kunt er niet mee streamen. Dat was het grootste gemis dat ik bij 2.2.1 had. En dan is er de torrent zoek balk die qbittorrent heeft die toe laat op alle grote torrent sites te zoeken en dat is wel zo handig. En er is nog veel meer leuks en aardigs aan qbitorrent dat een oude versie van utorrent waar niet meer aan ontwikkeld word natuurlijk niet kan aanbieden.
2.2.1 kan gewoon parallel downloaden. zit net als elke andere versie in het verborgen optiemenu.

voordeel van 2.2.1 is dat het geen enkele vorm van bloatware heeft (daarom ook maar 200kb)
Met nog meer lekken, verouderde instellingen, poorten, en weet ik het allemaal. Nee, ook ik ben sinds een half jaartje over op qBitTorrent.
Mensen noemen vaak 'beveiligingskwetsbaarheden' in oude versies van uTorrent, maar hoewel ik iedereen vraag om ze op te noemen, heeft niemand me ooit verteld wat ze zijn. Er is vooralsnog geen fatale beveiligingskwetsbaarheden in uTorrent 2 bekend, tenzij er een is gevonden die ik niet begrijp waarom het gebruik ervan onveilig is :)

Ik neem mijn woorden terug gezien de reactie van AnonymousWP hieronder :X

[Reactie gewijzigd door Antrax op 21 februari 2018 09:11]

Bovendien is het naďef om te denken dat er omdat er niets te vinden is, er ook geen lekken zijn. Wie weet wordt er actief misbruik gemaakt van 2.2.1, en 2.2.1 wordt dan niet meer gepatcht. ;)
Ik vraag me alleen af hoe makkelijk die lekken te exploiteren zijn. Is het accepteren van een magneet-link van het internet genoeg? Ik gebruik een oude Utorrent omdat die video kan streamen terwijl je nog aan het downloaden bent.
qBitTorrent kan dat volgens mij ook. Als je een video streamt via een torrent, kun je net zo goed PopcornTime of iets downloaden :p.

Ik heb de details niet bekeken, maar dat zou wel een mogelijkheid kunnen zijn.
Ik zie dat Q sequentieel kan, maar niet gewoon streamen en bufferen en zo, zoals de oude U met VLC. Popcorn ken ik niet.
popcorn time is a een app die gebruikt maakt van peerflix een streaming torrent client for node.js

Peerflix is de beste streaming torrent client die ik ken, werkt veel sneller en vlotter dan utorrent zijn streaming optie.

Ik gebruik zelf ook meestal Qbittorrent maar als ik wil seeken dan gebruik ik peerflix.
OK goed om te weten, misschien ga ik dan eens uitzoeken hoe ik die peerflix kan gebruiken.
Het is een node.js applicatie. Op linux werkt het zo

peerflix "magnet:?xt=urn:btih:ef330b39f4801d25b4245212e75a38634bfc856e" --vlc

Dus dan word een magnet link gewoon geopent in VLC en kun je vooruit spoelen en zo.
Of je kunt ook Popcorn TIme installeren en daar kun je gewoon torrent files of magnet links naar toe drag en droppen. En er zijn natuurlijk tig implementaties die op de achtergrond gewoon peerflix als streaming torrent client gebruiken.
Ah, ja, ik zou er wel gewoon een GUI bij willen die net zo werkt als Utorrent e.d., streamen tijdens het downloaden om te kijken wat het is. Misschien dan toch maar eens Popcontime gebruiken, al wil ik wel graag software waarvan ik zeker weet dat die van een betrouwbare bron komt.
Dan moet je voorzichtig zijn met popcorn-time. Alleen https://popcorntime.sh/ is te vertrouwen.
Dank voor de link. Al zou ik die site dan wel even heel goed gaan checken. Of misschien in een VM draaien.
Oh wauw. Ik zie dat ik zelfs nog op 1.8.7. zit. Wordt dus tijd om eens iets nieuws te gaan zoeken. Updaten is namelijk een ramp en ik merk dat ik nogal wel eens een berg resources echt kwijt ben aan niets.

[Reactie gewijzigd door supersnathan94 op 21 februari 2018 12:47]

Eerste link - Ik zie geen lekken van 2.2.1 in die lijst, allemaal van de vroegere versies. En de eerste lek in die lijst is helemaal vaag, die gaat over "alle" uTorrent versies, ook de laatste dus :? , en geen enkele bewijs/exploit en vage omschrijving.
De tweede link - een uTorrent gebruiker zegt dat hij kan geen lekken in 2.2.1 herinneren.
Dat is jouw bewijs?
Heb je de linkjes echt gekeken? Er staat namelijk geen bewijs dat 2.2.1 is lek. ;)
Dat klopt maar ik wilde geen discussie aan gaan omdat er dan tot de dood wordt gestreden om wie er gelijk krijgt en heb daar geen zin in :)
Hmm... ik zie anders vooral meldingen voorbij komen waarin wordt aangegeven dat dit probleem zich bevindt in alle versies van uTorrent... dat is dus ook in 2.2.1.

Ik denk dat het tijd wordt naar een andere client te kijken ;)
Ik heb ook die oude 2.2.1 versie nog, maar begrijp ik het goed dat deze truc alleen werkt als je naar een website gaat en je tegelijkertijd uTorrent draait?
Die oude uTorrent voelt inderdaad een stuk beter aan dan de laatste uTorrent versies, maar het is en blijft oude software die mogelijks nog meer ongepatchte beveiligingslekken bevat.
Deluge vind ik zeer goed :)
Absoluut Deluge. Heel licht, heel makkelijk en compleet ad-free.
Ook mijn keuze sinds enkele jaren. Wanneer een stuk software op een bepaalde moment malware meelevert (zoals de bitcoin miner die in uTorrent zat) dan raak ik het liever nooit meer aan.

Deluge is voor mij wat uTorrent ooit was, lekker licht, lekker lelijk en functioneel.

[Reactie gewijzigd door s1h4d0w op 21 februari 2018 09:35]

Same here, Transmission heeft nooit echt lekker gedraaid hier. Deluge is simpel, licht en duidelijk.
Opmerkelijk ik draai al meer dan 15 jaar Transmision, nooit gefaald.
Op Ubuntu had ik er nooit problemen mee - bij W7/W10 vaak freezes, en torrents met lange bestandsnamen vertikte hij helemaal te downloaden.
Ligt een beetje aan je GTK thema. (of is dat Windows? Ik heb geen idee hoe Deluge eruit ziet zonder custom theme)
Bovengenoemde security risico? Niemand heeft het over security risicos gehad m.b.t. Deluge, en zover ik weet zijn er ook geen bekende risicos.

Ik heb daarnaast even naar de qBittorrent website gekeken, en hun main mirror staat op FossHub, de anderen wel op SourceForge.
Duidelijk. Bedankt, ik ga ermee gebruiken.

Leuk dat Deluge ook aardig wat plugins heeft en er is tool aanwezig om data van utorrent te importeren, dus mooi voor overstappers.
nieuw? eerste release 2006 als antwoord op de malware die zijn intrede deed bij utorrent. Dus al 12 jaar nieuw. Wat een grap.
Probeer alt 230 voor µ.
Zeggen we u torrent of micro torrent?

Sommige torrent sites zijn al schimmig dus zou niet eens gek zijn dat ze daar een paar foute links tussen zetten. Misschien maar even niet gebruiken.
Dat is nou een vraag die de maker zelf in 2005al heeft beantwoord, zie https://web.archive.org/w.../viewtopic.php?pid=47#p47
Good question.

It could be one of those:
* you-torrent
* microtorrent (because µ means micro)
* mytorrent (because µ is pronounced like my)

I don't really know how it's pronounced big_smile
I usually say "you torrent" because it looks like a u.

/Ludde
De officiële benaming is dan mu-torrent.
Wat Nelizmastr al schrijft, spreek je het µ teken uit als mu. Het teken staat in de natuurkunde voor micro. Daarom lees ik het als micro torrent.

Nou weet ik niet wat de naamgever(s) van het programma in gedachte had(den).

Er zullen echter genoeg mensen zijn die het als "u" torrent uitspreken.
Ctrl + Alt + M en AltGr + M kunnen ook.
Ctrl + Alt + M en AltGr + M kunnen ook.
Ligt aan je gekozen toetsenbordindeling. Mensen die veel met code werken gebruiken vaak US English zonder internationale ondersteuning/dead keys/extra modifiers. Onder Windows werkt ALT+(numlock:on,numpad:2,3,0) altijd, onafhankelijk van de gebruikte layout.
Numlock hoeft daar niet voor aan te staan.
Ja, heel leuk, die niet te onthouden windows-specifieke combinaties, maar het web speelt zich steeds meer af op telefoons en ik zie toch echt geen mu-teken op m’n onscreen keyboard zitten. Op m’n linux bakken en MacOS heb je er ook niets aan, alhoewel het onder Linux waarschijnlijk veel makkelijker is dan onder Windows, met de compose-key (de exacte combinatie weet ik niet, ik zit nu op m’n telefoon, maar ik zou eerst u+, proberen).

Laten we het gewoon uTorrent blijven noemen, dan leren andere developers er misschien wat van (dat ze geen tekens in hun naam moeten gebruiken die niet te typen zijn).
Gaat het nou over uTorrent of BitTorrent?..

Het zijn blijkbaar twee torrent programma's van dezelfde maker. Wat is het verschil ertussen dan?

[Reactie gewijzigd door S-Face op 21 februari 2018 08:15]

Het gaat over de µTorrent client. BitTorrent is eigenaar van µTorrent, vandaar dat de onderzoekers de eigenaar/ontwikkelaar daarvan op de hoogte hebben gesteld :)
BitTorrent is de eigenaar van uTorrent
Enig idee wanneer transmission met een patch komt ?
Transmission versie 2.93 met een fix voor genoemde kwestbaarheid, CVE-2018-5702, is enkele weken geleden uitgekomen. Zie release notes

[Reactie gewijzigd door mischaatje2 op 21 februari 2018 13:58]

Als je debian: https://www.debian.org/security/2018/dsa-4087

For the oldstable distribution (jessie), this problem has been fixed in version 2.84-0.2+deb8u1.

For the stable distribution (stretch), this problem has been fixed in version 2.92-2+deb9u1.

simpele apt-cache policy transmission*
geeft je welke versies geďnstalleerd zijn, in mijn geval zijn alle geinstalleerde transmission packages 2.92-2+deb9u1 zoals zou moeten.
Haha, een update om het lek te fixen, fixed het lek niet? Mooi!
Mooier! Een fix om aleen de tool die lek detecteert, voor de gek te houden. :X
Eigenlijk heeft iedereen moeten stoppen dit programma te gebruiken nadat ze jaren geleden ads e.d. er in hadden gestopt.

Mja.
Je kunt de ads ervan ook simpelweg blokkeren, Just so you know.
En hoe dat voor elkaar te krijgen, kun je hier lezen.
Nu gebruik ik het programma zelf al erg lang niet meer, maar toen dat nog wel het geval was, was dit altijd het eerste wat er ging gebeuren, nadat de installatie ervan eenmaal gedaan was.
;)

[Reactie gewijzigd door SSDtje op 21 februari 2018 11:39]

Of je gebruikt een ander programma waar geen ads in zitten. Waarom lastig doen als het ook makkelijk kan?
Jouw link bewijst maar weer eens hoe religieus mensen over een simpel programma als een torrent programma zijn......
En dat in combinatie met het feit dat vele torrentsites al zeer louche inhoud bevatten. Torrenten van (illegale) software blijft sowieso al een groot risico. Extra vulnerabilities zoals deze maken het nog gevaarlijker.
Er zijn meer doelen voor torrent dan illegale downloads hoor. Torrent is gewoon een protocol voor file transfer, net als http, ftp en nog vele anderen. Je hoort toch ook niemand roepen dat er zoveel “http sites” vol staan met louche inhoud en http wel een groot risico is?
Hallo Brein, hoe is het vandaag?
Wtf na 2006 nog utorrent gebruiken. In 2006 werd utorrent een grote malware. Als antwoord daarop kwam qbittorrent, alweer 12 jaar geleden. Kom op mensen, laat utorrent, net als flash, eens rustig inslapen. dank u.
Dat was na 2.2.1. Versie 2.2.1 was de laatste stabiele versie zonder ads en malware,
Alldebrid is voor mij al jaren lang een ideale oplossing voor torrents :)

[Reactie gewijzigd door beezjeh op 21 februari 2018 11:45]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*