Dos versiones de uTorrent, una de las aplicaciones de BitTorrent más usadas para la descarga rápida de archivos pesados, están expuestas a vulnerabilidades que abren la puerta a que atacantes inyecten con malware, accedan a archivos o vean el historial de descargas en el equipo de la víctima, según detectó un investigador.

El problema fue descubierto por Tavis Ormandy, integrante del equipo Google Project Zero, formado por analistas de seguridad que se especializan en encontrar vulnerabilidades de "día cero" (en inglés "zero day", que son fallas que los desarrolladores desconocen), informó hoy el sitio especializado Tech Radar.

Según Ormandy, las fallas son fáciles de explotar y permiten a los atacantes controlar funciones claves, como ver los archivos descargados de la víctima o infectar su computadora con malware (que se ejecutará la próxima vez que se inicie el equipo).

Los desarrolladores están en proceso de implementar soluciones tanto para la aplicación de escritorio uTorrent para Windows como para el producto web uTorrent más nuevo, que son las versiones afectadas según se informó.

Las vulnerabilidades, según Project Zero, abren la puerta a que cualquier sitio web visitado por una persona controle las funciones claves en ambas versiones.

La mayor amenaza la tienen los sitios maliciosos que podrían explotar la falla para descargar malware en la carpeta de inicio de Windows, donde se ejecutará de forma automática la próxima vez que se inicie la computadora.

Cualquier sitio que visite un usuario también puede acceder a los archivos descargados y explorar los historiales de descarga.

BitTorrent emitió un parche de seguridad en su última versión beta (de prueba), y planifica lanzar una nueva versión estable a todos los usuarios a fines de esta semana.

La versión web de uTorrent ya fue reparada, según Dave Rees, vicepresidente de Ingeniería de BitTorrent.

"Recomendamos a todos los clientes de uTorrent Web que actualicen a la última versión (0.12.0.502), disponible en nuestro sitio web y también a través de la notificación de actualización en la aplicación", sostuvo el directivo en un mail enviado a los usuarios.