KaZaA, Grokster и Morpheus - клиенты для совместного использования файлов, основанные на технологии FastTrack
P2P.
Пользователь, создающий поддельный HTTP GET заголовок, может действовать от имени другого пользователя через службу передачи сообщений (обычно 1214 порт). Для этого достаточно в заголовке прописать правильное имя хоста и имя пользователя (т.е. идентичность пользователя основана на данных,
передаваемых в заголовках запроса).
Собственно говоря, любые версии клиентов
для обмена файлами, основанные на технологии FastTrack P2P,
включающие возможность передачи сообщений, уязвимы к этой проблеме.
Интересно и то, что посылая
многочисленные сообщения к клиенту от различных пользователей по этой методике, можно
организовать простую DoS атаку.
Уязвимость найдена в FastTrack KaZaA 1.2-1.5
Grokster 1.3-1.3.3
Music City Networks Morpheus 1.3-1.3.3
