Një cenueshmëri 14-vjeçare e lidhur me verifikimin e gabuar të certifikatave SSL/TLS është rregulluar në qBittorrent. Përditësimi në versionin 5.0.1 rregulloi këtë dobësi, e cila kishte ekzistuar që nga viti 2010.
Gjatë kësaj kohe, programi pranoi çdo certifikatë, përfshirë ato të rreme, të cilat e bënë atë të prekshëm ndaj një sulmi njeri në mes (MitM). Kjo i lejoi sulmuesit të ndryshonin në mënyrë të fshehtë trafikun e rrjetit, duke i ekspozuar potencialisht përdoruesit ndaj rrezikut të shkarkimit dhe ekzekutimit të kodit me qëllim të keq kur përditësojnë një produkt duke përdorur një lidhje nga një njoftim lëshimi, ose kur shkarkojnë binarët e Python në Windows. Dobësia ishte jo vetëm teorike, por edhe e realizueshme në praktikë.
Gjithashtu, mungesa e vërtetimit të certifikatës i lejoi MitM të zëvendësonte përmbajtjen e RSS dhe bazën e të dhënave MaxMind Geo IP.
Burimi: linux.org.ru
