De ontwikkelaars van de bittorrentclient Transmission werken aan een patch voor een rce-lek, dat door een onderzoeker van Googles Project Zero is gevonden. Hij demonstreerde een aanval via een kwaadaardige site op de webinterface van de client.

Tavis Ormandy, de onderzoeker die de kwetsbaarheid vond, schrijft dat een aanvaller via een kwaadaardige website toegang kan krijgen tot de webinterface van een Transmission-gebruiker, die alleen via localhost bereikbaar zou moeten zijn. Door gebruik te maken van een techniek die bekendstaat als dns rebinding, toont Ormandy aan dat hij de Transmission-instellingen kan wijzigen en bijvoorbeeld een bepaald script kan draaien zodra een torrent is gedownload. In een gepubliceerde demo van de aanval meldt de onderzoeker dat deze ongeveer vijf minuten in beslag neemt. De aanval zou werken in Chrome en Firefox op zowel Windows als Linux.

Inmiddels heeft het lek het kenmerk CVE-2018-5702 gekregen en is de patch gemerged, zo blijkt uit de GitHub-pagina van Transmission. Het lijkt erop dat de patch zal uitkomen in versie 2.93 van de software. Die is momenteel nog niet beschikbaar. Een lid van het ontwikkelaarsteam zegt tegen Ars Technica dat alleen gebruikers kwetsbaar zijn die Transmission met toegang op afstand en zonder wachtwoordbeveiliging gebruiken.

Ormandy meldt dat hij de ontwikkelaars een patch heeft gestuurd op 1 december, maar dat deze vorige week nog steeds niet was toegepast. Hij uit zijn frustratie over het feit dat dit zo lang duurt en zegt dat opensourceprojecten er vaak uren over doen om een patch toe te passen en niet maanden. De onderzoeker laat via Twitter weten dat hij ook rce-lekken in andere bittorentclients heeft gevonden, maar dat deze nog niet publiek zijn, omdat Project Zero een deadline van negentig dagen hanteert.

Bron: Tweakers.net