qBittorrent終于出手！遠程代碼執(zhí)行漏洞，14年頑疾一朝除

【ITBEAR】知名BT下載客戶端qBittorrent近日修復了一項存在長達14年的安全漏洞。據(jù)科技媒體bleepingcomputer于10月31日的報道，該漏洞涉及中間人劫持和遠程代碼執(zhí)行，對用戶的數(shù)據(jù)安全構(gòu)成了嚴重威脅。

此漏洞最早可追溯到2010年4月6日，但直到最近，qBittorrent官方在2024年10月28日發(fā)布的5.0.1版本中才將其修復。漏洞的存在主要是由于應(yīng)用程序的DownloadManager組件未能有效驗證SSL/TLS證書，該組件負責應(yīng)用程序內(nèi)的所有下載管理。

盡管漏洞已經(jīng)得到修復，但安全研究公司Sharp Security指出，qBittorrent團隊在通報此問題方面做得并不充分，可能導致部分用戶仍未意識到升級的重要性。

未驗證的SSL證書可能引發(fā)的安全風險包括：惡意Python安裝程序的替換、通過篡改硬編碼URL誘導用戶下載惡意軟件、RSS訂閱內(nèi)容的劫持與篡改，以及利用qBittorrent自動下載的GeoIP數(shù)據(jù)庫導致的內(nèi)存溢出漏洞。

Sharp Security的研究員特別強調(diào)，在某些地區(qū)，中間人攻擊可能更為頻發(fā)。因此，他們敦促所有qBittorrent用戶盡快升級到最新版本5.0.1，以確保個人數(shù)據(jù)和網(wǎng)絡(luò)安全。