BitTorrent Sync btsync:协议命令注入远程代码执行漏洞（CVE-2015-2846）

BitTorrent Sync btsync:协议命令注入远程代码执行漏洞（CVE-2015-2846）
发布日期：2015-04-10
更新日期：2015-04-14

受影响系统：

BitTorrent BitTorrent

描述：

CVE（CAN） ID: CVE-2015-2846

BitTorent是一种内容分发协议，采用了高效的软件分发系统和点对点技术。

BitTorrent Sync允许远程攻击者通过构造的btsync:链接，利用此漏洞执行任意命令。此漏洞源于用btsync协议处理URL的方式。通过诱使用户浏览用btsync:开头的构造链接，攻击者可注入任意命令行参数，传递到BTSync.exe，在当前用户上下文中执行任意代码。

<*来源：Andrea Micalizzi （rgod）

链接：http://www.zerodayinitiative.com/advisories/ZDI-15-115/
*>

建议：

厂商补丁：

BitTorrent
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.bittorrent.com/