Kerentanan berusia 14 tahun terkait kesalahan verifikasi sertifikat SSL/TLS telah diperbaiki di qBittorrent. Pembaruan ke versi 5.0.1 memperbaiki kerentanan yang telah ada sejak 2010 ini.
Selama periode ini, program menerima sertifikat apa pun, termasuk sertifikat palsu, sehingga rentan terhadap serangan man-in-the-middle (MitM). Hal ini memungkinkan penyerang untuk secara diam-diam mengubah lalu lintas jaringan, yang berpotensi membuat pengguna berisiko mengunduh dan mengeksekusi kode berbahaya saat memperbarui produk menggunakan tautan dari pemberitahuan rilis, atau saat mengunduh binari Python di Windows. Kerentanan tersebut tidak hanya bersifat teoretis, namun juga dapat diwujudkan dalam praktik.
Selain itu, kurangnya validasi sertifikat memungkinkan MitM mengganti konten RSS dan database MaxMind Geo IP.
Sumber: linux.org.ru
