Новости 14 лет в опасности: qBittorrent оставил миллионы пользователей без защиты

NewsMaker

I'm just a script
Премиум
13,646
20
8 Ноя 2022
Незаметная брешь могла привести к утечке данных в огромных масштабах.


d8tovleqzx6i1x673tircfpqn8fpuf2p.jpg


В популярном BitTorrent-клиенте qBittorrent Для просмотра ссылки Войди или Зарегистрируйся связанная с отсутствием проверки SSL/TLS-сертификатов в компоненте DownloadManager, отвечающем за управление загрузками. Проблема позволяла злоумышленникам выполнять атаки «человек посередине» ( MitM ) и перехватывать данные, выдавая себя за надёжный сервер.

Ошибка появилась в коде программы ещё 6 апреля 2010 года и оставалась неисправленной более 14 лет. В результате qBittorrent доверял любым сертификатам, в том числе поддельным, что делало пользователей уязвимыми. Обновление до версии 5.0.1, выпущенное 28 октября 2024 года, наконец устранило эту проблему.


6q73us9n21cvkrloai27dqwz0cij47or.png


qBittorrent — это популярный бесплатный клиент с открытым исходным кодом для загрузки и обмена файлами по протоколу BitTorrent, предлагающий поддержку фильтрации IP, интегрированный поиск, RSS-ленты и современный интерфейс на базе Qt. Сложившаяся ситуация с безопасностью привлекла внимание как экспертов, так и простых пользователей.

Компания Sharp Security Для просмотра ссылки Войди или Зарегистрируйся что разработчики qBittorrent не уведомили пользователей об уязвимости и не присвоили ей идентификатор CVE, что затруднило контроль за проблемой. Исследователи указали на четыре ключевых риска для пользователей, связанных с этой уязвимостью.

Во-первых, если Python отсутствует в Windows, qBittorrent предлагает его установить, запрашивая данные по URL. Из-за отсутствия проверки сертификата злоумышленники могли подменить его вредоносной версией.

Во-вторых, система обновлений qBittorrent через XML-канал могла быть подвержена атаке, позволяющей внедрить вредоносные ссылки вместо обновлений. Это также было возможно из-за отсутствия проверки SSL .

Кроме того, уязвимость затрагивала RSS-ленты, открывая возможность для злоумышленников подменять ссылки на загрузку файлов, делая их потенциально опасными. Ещё один риск заключался в скачивании GeoIP-базы данных, где злоумышленники могли использовать недоверенный URL для установки вредоносного кода.

Разработчики Для просмотра ссылки Войди или Зарегистрируйся пользователям Для просмотра ссылки Войди или Зарегистрируйся до версии 5.0.1, чтобы обезопасить свои данные и предотвратить риски, связанные с незащищёнными соединениями.
 
Источник новости
www.securitylab.ru

Похожие темы