qBittorrent 的开发团队发布了一个修复程序,用于修复自 2010 年以来一直存在于这个 BitTorrent 客户端中的漏洞,它可能被利用来执行中间人攻击。对应发布的修复更新版本为 v5.0.1 版。安全研究公司 Sharp Security 发现,自 2010 年 4 月以来,这个开源种子客户端的 DownloadManager 类一直忽略所有与 SSL 证书验证相关的错误消息。当跳过这种验证时,任何伪装成合法服务器的服务器都可以截获、修改或添加数据,而 qBittorrent 会信任这些数据。攻击者可以通过多种方式利用这一漏洞,将用户引导至恶意链接或让用户系统下载有害文件。
在更新的补丁说明中,qBittorrent 提到了一个” 不再忽略 SSL 错误” 的 bug 修复,但没有详细说明。Sharp Security 公司建议用户通过浏览器手动下载更新,而不是通过应用程序本身更新,因为攻击者也可能利用更新通知进行攻击。