In qBittorrent wurde eine 14 Jahre alte Sicherheitslücke im Zusammenhang mit der falschen Überprüfung von SSL/TLS-Zertifikaten behoben. Mit dem Update auf Version 5.0.1 wurde diese seit 2010 bestehende Schwachstelle behoben.
Während dieser Zeit akzeptierte das Programm alle Zertifikate, auch gefälschte, was es anfällig für einen Man-in-the-Middle-Angriff (MitM) machte. Dies ermöglichte es Angreifern, den Netzwerkverkehr heimlich zu manipulieren, wodurch Benutzer möglicherweise dem Risiko ausgesetzt wurden, schädlichen Code herunterzuladen und auszuführen, wenn sie ein Produkt über einen Link aus einer Veröffentlichungsbenachrichtigung aktualisieren oder Python-Binärdateien unter Windows herunterladen. Die Schwachstelle war nicht nur theoretisch, sondern auch in der Praxis realisierbar.
Aufgrund der fehlenden Zertifikatsvalidierung konnte MitM außerdem die Inhalte von RSS und der MaxMind Geo IP-Datenbank ersetzen.
Source: linux.org.ru
