qBittorrent終于出手！遠(yuǎn)程代碼執(zhí)行漏洞，14年頑疾一朝除

【ITBEAR】知名BT下載客戶端qBittorrent近日修復(fù)了一項(xiàng)存在長達(dá)14年的安全漏洞。據(jù)科技媒體bleepingcomputer于10月31日的報(bào)道，該漏洞涉及中間人劫持和遠(yuǎn)程代碼執(zhí)行，對(duì)用戶的數(shù)據(jù)安全構(gòu)成了嚴(yán)重威脅。

此漏洞最早可追溯到2010年4月6日，但直到最近，qBittorrent官方在2024年10月28日發(fā)布的5.0.1版本中才將其修復(fù)。漏洞的存在主要是由于應(yīng)用程序的DownloadManager組件未能有效驗(yàn)證SSL/TLS證書，該組件負(fù)責(zé)應(yīng)用程序內(nèi)的所有下載管理。

盡管漏洞已經(jīng)得到修復(fù)，但安全研究公司Sharp Security指出，qBittorrent團(tuán)隊(duì)在通報(bào)此問題方面做得并不充分，可能導(dǎo)致部分用戶仍未意識(shí)到升級(jí)的重要性。

未驗(yàn)證的SSL證書可能引發(fā)的安全風(fēng)險(xiǎn)包括：惡意Python安裝程序的替換、通過篡改硬編碼URL誘導(dǎo)用戶下載惡意軟件、RSS訂閱內(nèi)容的劫持與篡改，以及利用qBittorrent自動(dòng)下載的GeoIP數(shù)據(jù)庫導(dǎo)致的內(nèi)存溢出漏洞。

Sharp Security的研究員特別強(qiáng)調(diào)，在某些地區(qū)，中間人攻擊可能更為頻發(fā)。因此，他們敦促所有qBittorrent用戶盡快升級(jí)到最新版本5.0.1，以確保個(gè)人數(shù)據(jù)和網(wǎng)絡(luò)安全。