Luka w programie do torrentów. Producent ignoruje zagrożenie, łatać trzeba samemu

Szczegóły działania ataku opisał kilka dni temu na GitHubie Tavis Ormandy, członek zespołu Google Project Zero, który odkrył lukę. W skrócie operacja atakującego polega na konfiguracji własnego serwera DNS działającego z kontrolowaną subdomeną w taki sposób, by przeglądarka oczekując na jego zadziałanie zdążyła anulować operację z powodu wygaśnięcia wpisu, a to wystarczy, by w tym przypadku zdobyć uprawnienia do czytania i ustawiania nagłówków.

Jednak nie mniej ciekawa, niż sama luka, jest postawa zespołu programistów zajmujących się aplikacją Transmission. Okazuje się, że do teraz nie pojawiła się z jego strony żadna reakcja, mimo, że Ormandy przedstawił całą sytuację już 40 dni temu w prywatnej wiadomości wraz ze szczegółowym opisem i gotową do zastosowania łatką. Póki co wychodzi więc na to, że aplikację trzeba załatać samodzielnie, korzystając z przytoczonych źródeł na GitHubie.

To frustrujące, (...) zasugerowałem więc upublicznienie sprawy, by dystrybutorzy mogli załatać lukę we własnym zakresie. Zakładam, że [zespół programistów] nie odpowie, ale zobaczymy – dodaje Ormandy. Google Project Zero zwykle upublicznia informacje o lukach po 90 dniach od pierwszego zgłoszenia, jeśli programiści jej nie załatają lub szybciej, kiedy wcześniej pojawi się łatka.

Ormandy dodaje także, że w przypadku projektu z otwartym źródłem (jakim jest Transmission), nigdy wcześniej nie zdarzyło się, by na reakcję programistów trzeba było czekać tak długo, stąd pojawiła się decyzja o upublicznieniu sprawy już teraz. Powiedziałbym, że średni czas reakcji mierzony jest w godzinach, a nie miesiącach... – trudno się więc dziwić, że w sytuacji, gdy gotowe rozwiązanie twórcy aplikacji otrzymali ponad miesiąc temu, sprawa została upubliczniona z powodu braku reakcji na zgłoszenie.