Une vulnérabilité vieille de 14 ans liée à une vérification incorrecte des certificats SSL/TLS a été corrigée dans qBittorrent. La mise à jour vers la version 5.0.1 a corrigé cette vulnérabilité qui existait depuis 2010.
Durant cette période, le programme acceptait tous les certificats, y compris les faux, le rendant vulnérable à une attaque de type « homme du milieu » (MitM). Cela permettait aux attaquants de modifier subrepticement le trafic réseau, exposant potentiellement les utilisateurs au risque de télécharger et d'exécuter du code malveillant lors de la mise à jour du produit via un lien dans une notification de version, ainsi que lors du téléchargement de fichiers binaires Python. WindowsLa vulnérabilité n'était pas seulement théorique, mais aussi pratique.
De plus, le manque de validation des certificats a permis à MitM de remplacer le contenu du RSS et de la base de données MaxMind Geo IP.
Source: linux.org.ru
