A blogposzt szerint a távoli elérésre beállított kliensekkel van probléma, a DNS-ek manipulálhatóak úgy, hogy a támadó hozzáférhessen a kliensen futó daemon vezérléséhez és tetszőleges adatot töltsön le a felhasználó szándéka ellenére. Ehhez csupán annyi szükséges, hogy a felhasználónak el kell látogatnia egy megfelelően preparált weboldalra, amely (például iframe-ben) egy olyan szubdoménre hivatkozik, amelyet a támadó vezérel (ez úgy tűnik lehet egy internetes reklám is, megbízható oldalon). Mivel kívülről a daemon beállításai is elérhetőek, a támadó átállíthatja például a letöltési könyvtárat, illetve adhat parancsot az állomány letöltés utáni azonnali futtatására is - ezzel tetszőleges kódot futtathat.

A Project Zero normális esetben 90 napos határidőt ad a fejlesztőknek a hiba kijavítására (ebben egyébként segít is általában), a határidőt követően azonban a kutatók publikálják az eredményeket. Ettől most eltért a csapat és Ormandy mindössze 40 nap után nyilvánosságra hozta a hibát és az elkészített javítást, amelyet így mások implementálni tudnak a fejlesztők helyett. A különösen szigorú lépést Ormandy azzal indokolta, hogy a Transmission fejlesztői nem reagáltak gyorsan a bejelentésre - a megkeresést követően is hetekig tartott, míg valaki ránézett a beküldött patchre.

Erre reagálva Ormandy úgy döntött, hogy nyilvánosságra hozza a hibát és a javítást, hogy a downstream disztribúciók karbantartói bele tudják tenni az amúgy nyílt forráskódú Transmissionbe saját hatáskörben. A hiba egyébként nagyjából minden létező platformot és böngészőt érint, a Windows és Linux, illetve Chrome és Firefox is működik. A javítás végfelhasználók számára még nem érhető el, a legfrissebb (fordított) verzió jelenleg a több éves 2.92-es, ez még nem tartalmazza a javítást.

A kutatók egyébként újra felhívják a figyelmet arra, hogy weboldalak igenis el tudják érni a localhost-on vagy a helyi intraneten futó szolgáltatásokat a DNS rebinding támadás révén. "A localhost-ra korlátozott szolgáltatásokat csak a kliensen futó szoftverek érik el és a böngésző ezen a helyi gépen fut" - mondja Ormandy. A DNS rebinding problémára jó megoldás korlátozást beépíteni, például az Apple-féle CUPS a "localhost", "localhost.", "127.0.0.1" és "[::1]" engedélyezett listát használja, ez gyakorlatilag iparági szabványnak is tekinthető.

A Project Zero jelenleg épp a népszerű BitTorrent klienseket vizsgálja, Ormandy tweetjében utalt rá, hogy más népszerű kliensekben is vannak súlyos sebezhetőségek, ezek kijavításán jelenleg dolgoznak a fejlesztőkkel - a legtöbbnél pedig még nem járt le a 90 napos határidő. A Project Zero csapata általában kampányszerűen vizsgál népszerű internetes és webes alkalmazásokat, úgy tűnik most épp a torrent kliensek vannak soron.

A támadás részletesebb leírása, a PoC és a javítás a hivatkozott bejegyzésben érhető el.