知名bt下载客户端qbittorrent近日修复了一项存在长达14年的安全漏洞。据科技媒体bleepingcomputer于10月31日的报道,该漏洞涉及中间人劫持和远程代码执行,对用户的数据安全构成了严重威胁。
此漏洞最早可追溯到2010年4月6日,但直到最近,qbittorrent官方在2024年10月28日发布的5.0.1版本中才将其修复。漏洞的存在主要是由于应用程序的downloadmanager组件未能有效验证ssl/tls证书,该组件负责应用程序内的所有下载管理。
尽管漏洞已经得到修复,但安全研究公司sharp security指出,qbittorrent团队在通报此问题方面做得并不充分,可能导致部分用户仍未意识到升级的重要性。
未验证的ssl证书可能引发的安全风险包括:恶意python安装程序的替换、通过篡改硬编码url诱导用户下载恶意软件、rss订阅内容的劫持与篡改,以及利用qbittorrent自动下载的geoip数据库导致的内存溢出漏洞。
sharp security的研究员特别强调,在某些地区,中间人攻击可能更为频发。因此,他们敦促所有qbittorrent用户尽快升级到最新版本5.0.1,以确保个人数据和网络安全。
