「BitTorrent利用者に注意：ハッカーがあなたのPCを乗っ取れるバグが発覚」

arstechnica.com

TransmissionというBitTorrentアプリケーション（Windows/macOS/Linux用）に脆弱性があり、悪意ある者が仕込みを行ったWebサイトにアクセスするだけで任意コードの実行が可能なことが判明し、PoCも公開されました。発見者はおなじみTabis Ormandy氏。GoogleのProject Zero主要メンバーです。

ただし今回はProject Zeroの「対応されずとも90日間は情報公開は控える」というポリシーは無視され、報告後40日で公開されています。理由は「開発者からの応答がなかったから」。実攻撃が出たわけではないのにポリシーを曲げて危険な情報を公開するのは、いかがなものかと思いますが。なお過去にもProject Zeroの脆弱性情報公開はトラブルを起こしています。

なお、今回の発表にはパッチが含まれており、Ubuntuなどでは各自が適用できる、としています。

Transmissionはこの記事作成時点（2018-01-18T12:30JST）でも更新されていません。またArs Technicaからの問合せに対しては「可及的速やかに修正、リリースする」との回答があったそうです。

また、Ormandy氏によれば他のBitTorrentアプリケーションの中にも脆弱なものがある模様です（こちらは応答があったのか、90日間の期限は守るつもりらしいです）。