11 月 2 日消息，科技媒體 bleepingcomputer 于 10 月 31 日發(fā)布博文，報道稱知名 BT 下載客戶端 qBittorrent 修復(fù)了已存在 14 年的中間人劫持 / 遠(yuǎn)程代碼執(zhí)行漏洞。

該漏洞最早可以追溯到 2010 年 4 月 6 日，官方于 2024 年 10 月 28 日發(fā)布的最新版本 5.0.1 中修復(fù)，時隔超過 14 年。

該漏洞是由于應(yīng)用程序的 DownloadManager 組件未能驗證 SSL / TLS 證書所導(dǎo)致的，而該組件負(fù)責(zé)管理整個應(yīng)用程序的下載。

雖然漏洞已修復(fù)，但安全研究公司 Sharp Security 指出，qBittorrent 團(tuán)隊未能向用戶充分通報此問題。

Sharp Security 指出，未驗證 SSL 證書的情況引發(fā)了多項安全風(fēng)險，主要包括以下 4 個風(fēng)險：

• 惡意 Python 安裝：在 Windows 上提示用戶安裝 Python 時，攻擊者可替換為惡意安裝程序。
• 惡意更新鏈接：通過硬編碼的 URL 檢查更新時，攻擊者可替換更新鏈接，誘導(dǎo)用戶下載惡意軟件。
• RSS 訂閱被篡改：攻擊者可攔截 RSS 訂閱內(nèi)容，注入偽裝的惡意鏈接。
• 內(nèi)存溢出漏洞：qBittorrent 自動下載的 GeoIP 數(shù)據(jù)庫可能被偽造服務(wù)器利用，導(dǎo)致內(nèi)存溢出。

安全研究員指出，中間人攻擊在某些地區(qū)可能更為常見，用戶應(yīng)盡快升級到最新版本 5.0.1，以確保安全。