BitTorrent टिभी कार्यक्रमहरू / चलचित्रहरू वा भिडियो क्लिपहरू समावेश गर्ने डिजिटल भिडियो फाईलहरू वा गीतहरू समावेश गरेको डिजिटल अडियो फाइलहरू जस्ता ठूला फाईलहरू स्थानान्तरणको लागि प्रयोग गरिन्छ। यो वेबको प्रयोग गर्ने व्यक्तिहरूको ठूलो हिस्साको लागि मनोरञ्जनको मुख्य स्रोत रहन्छ। तर हालसालै गुगलको प्रोजेक्ट शून्य टोलीले बिटटोरन्ट अनुप्रयोगमा "आलोचनात्मक त्रुटि" पत्ता लगायो जसले ह्याकरहरूलाई बिट टोरन्ट प्रयोगकर्ताहरूको कम्प्युटरमा टाढाबाट मालिसियस कोड कार्यान्वयन गर्न र उनीहरूको नियन्त्रण लिन अनुमति दिन सक्दछ।
सुरक्षा अन्वेषक टाभिस ओर्मान्डीका अनुसार यस त्रुटिलाई पत्ता लगाउने काममा त्रुटि दोष प्रसारण समारोहमा उपस्थित छ जसले प्रयोगकर्ताहरूलाई उनीहरूको वेब ब्राउजरबाट बिटटोरन्ट अनुप्रयोग नियन्त्रण गर्न अनुमति दिन्छ। उनले चेतावनी पनि दिए कि BitTorrent ग्राहकहरू पनि त्रुटिमा संवेदनशील छन्। सोमबार, उनले त्रुटिको बारेमा ट्वीट गरे:
बिभिन्न लोकप्रिय टोरेन्ट क्लाइन्टहरूमा केही रिमोट कोड कार्यान्वयन त्रुटिहरूका पहिले, यहाँ एक DNS रिवाइन्डिंग भेद्यता ट्रान्समिशन हो, फलस्वरूप अनियन्त्रित रिमोट कोड कार्यान्वयन। https://t.co/kAv9eWfXlG
- टाविस ओर्मान्डी (@taviso) जनवरी 11, 2018
ओर्मान्डीको प्रूफ-अफ-अटैकका अनुसार डोमेन नाम प्रणाली रिबिन्डिंग भनेर चिनिने ह्याकि technique प्रविधिको प्रयोग गरेर ट्रान्समिशन ईन्टरफेस टाढाबाट नियन्त्रण गर्न सकिन्छ जब कमजोर प्रयोगकर्ताले खराब साइटमा भ्रमण गरे। ओर्मान्डी भन्छ कि यो त्रुटि क्रोम र फायरफक्स जस्ता लोकप्रिय वेब ब्राउजरहरूमा काम गर्दछ, र दुबैलाई लागू हुन्छ Windows र लिनक्स.
उसको शोषण अनुसार, आक्रमणकर्ताहरूले DNS नाम प्रयोग गरेर उनीहरूसँग कुराकानी गर्न अधिकारप्राप्त DNS नाम राखेर कमजोर कम्प्युटरको स्थानीय होस्टनामलाई यसलाई समाधानको लागि प्रयोग गर्न सक्दछन्।
गत हप्ता, परियोजना शून्य अन्वेषकहरूले प्रुफ-अफ-कन्सेप्ट आक्रमण कोड प्रकाशित गरे। यो ध्यान दिन लायक छ कि प्रोजेक्ट शून्य सामान्यतया fla ० दिन वा फिक्स जारी नभएसम्म त्यस्ता त्रुटिहरूको विवरण सार्वजनिक गर्नबाट आफूलाई रोक्दछ। यद्यपि यस अवस्थामा, ती त्रुटिहरू शुरुवात रिपोर्ट पछि 90० दिन पछि सार्वजनिक गरियो।
ओर्मान्डी र गुगलको प्रोजेक्ट शून्यलाई दोषको बारेमा सार्वजनिक रूपमा जान बाध्य पारिएको थियो किनकि बिट टोरन्टको प्रसारण विकासकर्ताहरूले it० दिन भन्दा बढी अधिसूचित गरिए पछि पनि यसलाई स्पष्ट पार्न असफल भएको छ।
"म यो निराश महसुस गर्दैछु कि प्रसारण विकासकर्ताहरूले उनीहरूको निजी सुरक्षा सूचीमा प्रतिक्रिया गरिरहेका छैनन्, मैले यसलाई खुलामा सार्न सुझाव दिएँ ताकि वितरण प्याचलाई स्वतन्त्र रूपमा लागू गर्न सक्दछ।" ओर्मान्डीले आफ्नो रिपोर्टमा लेखे।
एउटा समाधान यथासक्दो चाँडो जारी हुने आशा गरिएको छ, प्रसारणका साथ एक विकास अधिकारीले अर्सटेक्निकालाई भने। यद्यपि कुनै खास मिति दिइएन।
