Mae bregusrwydd plentyn 14 oed sy'n gysylltiedig â dilysu tystysgrifau SSL/TLS yn anghywir wedi'i osod yn qBittorrent. Sefydlogodd y diweddariad i fersiwn 5.0.1 y bregusrwydd hwn, a oedd wedi bodoli ers 2010.
Yn ystod yr amser hwn, derbyniodd y rhaglen unrhyw dystysgrifau, gan gynnwys rhai ffug, a oedd yn ei gwneud yn agored i ymosodiad dyn-yn-y-canol (MitM). Roedd hyn yn caniatáu i ymosodwyr newid traffig rhwydwaith yn llechwraidd, gan wneud defnyddwyr o bosibl yn agored i'r risg o lawrlwytho a gweithredu cod maleisus wrth ddiweddaru cynnyrch gan ddefnyddio dolen o hysbysiad rhyddhau, neu wrth lawrlwytho deuaidd Python ar Windows. Roedd y bregusrwydd nid yn unig yn ddamcaniaethol, ond hefyd yn wireddadwy yn ymarferol.
Hefyd, roedd diffyg dilysu tystysgrif yn caniatáu i MitM ddisodli cynnwys RSS a chronfa ddata MaxMind Geo IP.
Ffynhonnell: linux.org.ru
