Një cenueshmëri 14-vjeçare e lidhur me verifikimin e gabuar të certifikatave SSL/TLS është rregulluar në qBittorrent. Përditësimi në versionin 5.0.1 rregulloi këtë dobësi, e cila kishte ekzistuar që nga viti 2010.
Gjatë kësaj kohe, programi pranoi çdo certifikatë, përfshirë ato të rreme, duke e bërë atë të prekshëm ndaj një sulmi "njeriu në mes" (MitM). Kjo u lejoi sulmuesve të modifikonin fshehurazi trafikun e rrjetit, duke i ekspozuar potencialisht përdoruesit ndaj rrezikut të shkarkimit dhe ekzekutimit të kodit keqdashës gjatë përditësimit të produktit nëpërmjet një lidhjeje në një njoftim publikimi, si dhe gjatë shkarkimit të skedarëve binare të Python. WindowsDobësia nuk ishte vetëm teorike, por edhe praktike.
Gjithashtu, mungesa e vërtetimit të certifikatës i lejoi MitM të zëvendësonte përmbajtjen e RSS dhe bazën e të dhënave MaxMind Geo IP.
Burimi: linux.org.ru
