Un experto en seguridad ha descubierto una grave vulnerabilidad en BitTorrent Sync que puede ser explotada por un atacante remoto para ejecutar código arbitrario en un sistema vulnerable.
El experto en seguridad Andrea Micalizzi, también conocido como "rgod", ha descubierto una vulnerabilidad grave en BitTorrent Sync (CVE-2015-2846) que puede ser explotada por un atacante remoto para ejecutar código arbitrario. La gravedad de la vulnerabilidad ha sido calificado como "alta", con el fin de explotar la falla el atacante tiene que engañar a la víctima para que visite una página maliciosa o abrir un archivo especialmente diseñado. BitTorrent Sync es una aplicación propietaria de sincronización de archivos peer-to-peer desarrollada por la firma BitTorrent, Inc., que permite a los usuarios sincronizar archivos entre dispositivos locales o remotos mediante el protocolo P2P.
En agosto del 2014, BitTorrent informo de que BitTorrent Sync tenía más de 10 millones de instalaciones, en noviembre del mismo año Andrea Micalizzi reportó la falla a través de BitTorrent Zero Day Initiative de HP (ZDI).
https://www.getsync.com/
Numerosos productos se ven afectados por la vulnerabilidad en BitTorrent Sync, incluyendo soluciones de Dell, HP, IBM, Novell, IBM, Oracle, Rockwell Automation, Samsung, Schneider Electric y HP.
El experto en seguridad Andrea Micalizzi, también conocido como "rgod", ha descubierto una vulnerabilidad grave en BitTorrent Sync (CVE-2015-2846) que puede ser explotada por un atacante remoto para ejecutar código arbitrario. La gravedad de la vulnerabilidad ha sido calificado como "alta", con el fin de explotar la falla el atacante tiene que engañar a la víctima para que visite una página maliciosa o abrir un archivo especialmente diseñado. BitTorrent Sync es una aplicación propietaria de sincronización de archivos peer-to-peer desarrollada por la firma BitTorrent, Inc., que permite a los usuarios sincronizar archivos entre dispositivos locales o remotos mediante el protocolo P2P.
En agosto del 2014, BitTorrent informo de que BitTorrent Sync tenía más de 10 millones de instalaciones, en noviembre del mismo año Andrea Micalizzi reportó la falla a través de BitTorrent Zero Day Initiative de HP (ZDI).
Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en las instalaciones vulnerables de BitTorrent Sync. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad en la que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La vulnerabilidad se relaciona con la forma en BitTorrent Sync maneja URLs con el protocolo btsync. Al navegar al usuario un vínculo especialmente formado a partir de btsync :, un atacante puede inyectar parámetros de línea de comandos arbitrarios que se pasarán a BTSync.exe. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. ", Informó un boletín publicado por ZDI.BitTorrent ya ha publicado un parche para la vulnerabilidad en BitTorrent Sync como se informa en la siguiente URL
https://www.getsync.com/
Numerosos productos se ven afectados por la vulnerabilidad en BitTorrent Sync, incluyendo soluciones de Dell, HP, IBM, Novell, IBM, Oracle, Rockwell Automation, Samsung, Schneider Electric y HP.
