
qBittorrent 中修正了與 SSL/TLS 憑證驗證不正確相關的長達 14 年的漏洞。 5.0.1版本的更新修復了這個自2010年以來就存在的漏洞。
在此期間,程式接受任何證書,包括偽造的證書,使其容易受到中間人攻擊 (MitM)。這使得攻擊者能夠秘密修改網路流量,可能使用戶在透過版本通知中的連結更新產品或下載 Python 二進位時面臨下載和執行惡意程式碼的風險。 Windows這種脆弱性不僅體現在理論上,也體現在實務上。
此外,由於缺乏證書驗證,MitM 可以取代 RSS 和 MaxMind Geo IP 資料庫的內容。
來源: linux.org.ru
