Một lỗ hổng 14 tuổi liên quan đến xác minh sai chứng chỉ SSL/TLS đã được sửa trong qBittorrent. Bản cập nhật lên phiên bản 5.0.1 đã sửa lỗ hổng này, tồn tại từ năm 2010.
Trong thời gian này, chương trình chấp nhận mọi loại chứng chỉ, kể cả chứng chỉ giả mạo, khiến nó dễ bị tấn công trung gian (MitM). Điều này cho phép kẻ tấn công bí mật sửa đổi lưu lượng mạng, tiềm ẩn nguy cơ khiến người dùng tải xuống và thực thi mã độc khi cập nhật sản phẩm thông qua liên kết trong thông báo phát hành, cũng như khi tải xuống các tệp nhị phân Python. WindowsĐiểm yếu này không chỉ mang tính lý thuyết mà còn cả trên thực tế.
Ngoài ra, việc thiếu xác thực chứng chỉ đã cho phép MitM thay thế nội dung của RSS và cơ sở dữ liệu MaxMind Geo IP.
Nguồn: linux.org.ru
