Pakalpojumā qBittorrent ir novērsta 14 gadus veca ievainojamība, kas saistīta ar nepareizu SSL/TLS sertifikātu verifikāciju. Atjauninot versiju 5.0.1, tika novērsta šī ievainojamība, kas pastāvēja kopš 2010. gada.
Šajā laikā programma pieņēma visus sertifikātus, tostarp viltotus, kas padarīja to neaizsargātu pret cilvēku vidū (MitM) uzbrukumu. Tas ļāva uzbrucējiem slepeni mainīt tīkla trafiku, potenciāli pakļaujot lietotājus riskam lejupielādēt un izpildīt ļaunprātīgu kodu, atjauninot produktu, izmantojot saiti no paziņojuma par laidienu, vai lejupielādējot Python bināros failus sistēmā Windows. Ievainojamība bija ne tikai teorētiska, bet arī realizējama praksē.
Arī sertifikāta apstiprināšanas trūkums ļāva MitM aizstāt RSS un MaxMind Geo IP datu bāzes saturu.
Avots: linux.org.ru
