Дыры в клиентской программе SETI@Home

Проект SETI@Home объявил о выпуске новой версии клиентской программы для одноименной сети распределенных вычислений. Напомним, что целью SETI@Home является расшифровка радиосигналов, приходящих из космоса, с целью поиска в них искусственных составляющих. Обнаружение искусственных сигналов из космоса достоверно свидетельствовало бы о том, что человечество не одиноко во Вселенной.

Причиной для выпуска нового клиента с номером версии 3.08 стало обнаружение во всех старых версиях клиента для всех без исключения платформ нескольких опасных дыр. С их подробным описанием можно ознакомиться здесь.

Самая серьезная из дыр связана с возникновением ошибки переполнения буфера при обработке чересчур длинных запросов. Используя эту ошибку, хакер может заставить клиент соединиться с произвольным сервером и выполнить на пораженном компьютере произвольный код. Подобная уязвимость имелась и на сервере SETI@Home, однако каковы могли быть последствия ее использования, не сообщается.

Наконец, еще одним неприятным моментом является то, что вся информация внутри сети распространяется в обычном текстовом формате. Таким образом распространяются и данные о конфигурации компьютера пользователей и установленных на них ОС. В результате, перехватить эту информацию совсем просто.

Пока неизвестен ни один случай использования дыр в SETI@Home хакерами, однако всем участникам этой распределенной вычислительной сети рекомендуется установить свежую версию данной клиентской программы. Загрузить ее можно отсюда.