qBittorrent дээр SSL/TLS сертификатыг буруу баталгаажуулсантай холбоотой 14 жилийн өмнө үүссэн эмзэг байдлыг зассан. 5.0.1 хувилбарт шинэчлэлт хийснээр 2010 оноос хойш үүссэн энэ эмзэг байдлыг зассан.
В течение этого времени программа принимала любые сертификаты, включая поддельные, что делало её уязвимой к атаке типа «человек посередине» (MitM). Это позволяло злоумышленникам незаметно изменять сетевой трафик, потенциально подвергая пользователей риску скачивания и выполнения вредоносного кода при обновлении продукта по ссылке из уведомления о выходе новой версии, а так же при загрузке бинарников Python на Windows. Уязвимость была не только теоретической, но и реализуемой на практике.
Мөн гэрчилгээний баталгаажуулалт байхгүй байгаа нь MitM-д RSS болон MaxMind Geo IP мэдээллийн санг орлуулах боломжийг олгосон.
Эх сурвалж: linux.org.ru
