P2P-Update
Sicherheitslücke in µTorrent gestopft
In der P2P-Software µTorrent ist eine schwerwiegende Sicherheitslücke entdeckt worden. Ein Update auf die aktuelle Version behebt das Problem. Die Client-Software BitTorrent ist ebenfalls betroffen.
Der P2P-Client µTorrent ist eines der beliebtesten Programme für File-Sharing über das Bittorrent-Netz. Der Sicherheitsdienstleister Secunia meldet eine als "highly critical" eingestufte Sicherheitslücke in Versionen bis einschließlich µTorrent 1.7.7. Auch der auf µTorrent basierende Client BitTorrent ist davon betroffen.
Die Schwachstelle kann durch einen sehr langen Eintrag im Feld "created by" einer .torrent-Datei ausgenutzt werden, um einen Pufferüberlauf zu provozieren. Dadurch ist es potenziell möglich beliebigen Code einzuschleusen und auszuführen, wenn eine derart präparierte Datei geöffnet wird. Bei .torrent-Dateien handelt es sich um Textdateien, die den Download von Inhalten koordinieren.
Abhilfe schafft eine Aktualisierung auf die neueste µTorrent-Version 1.8. Das Programm sollte den Anwender automatisch auf das verfügbare Update hinweisen. Wer diese Funktion deaktiviert hat, sollte die Update-Prüfung manuell anstoßen. Im umfangreichen ChangeLog von µTorrent taucht die Behebung des Fehlers nur als einfacher Bug-Fix auf.
Als wichtigste neue Funktion von Version 1.8 heben die Entwickler die Unterstützung für das IPv6-Protokoll einschließlich Teredo-Tunneling hervor. Bei Teredo werden IPv6-Pakete in IPv4-Paketen verkapselt, um NAT-Router zu überwinden, die IPv6 nicht unterstützen. Da die Paket-Filter so genannter Firewall-Router damit umgangen werden, besteht durch die Nutzung von Teredo ein durchaus reales Sicherheitsrisiko.
Die Client-Software BitTorrent basiert auf µTorrent und ist bis einschließlich Version 6.0.3 ebenfalls betroffen. Inzwischen ist die neue Version 6.1 erhältlich, allerdings fehlt ein Hinweis, etwa ein ChangeLog, aus dem hervor ginge, ob die Sicherheitslücke in dieser Version behoben worden ist.
