2010年4月6日知名BT客户端软件qBittorrent提交的代码中包含漏洞,该漏洞会无视任何SSL/TLS证书并可能会被用于发起中间人劫持甚至远程代码执行。值得注意的是qBittorrent在最新推出的v5.0.1版中修复该漏洞,但如此危险的漏洞qBittorrent并未为漏洞分配CVE编号,也没有发布明显的通知告知用户。
如果你使用的是该BT客户端建议尽快升级到最新版本,随着时间的推移相信很快就会有黑客开采该漏洞并加以利用,到时候终端用户的安全会受到威胁。
该漏洞的大致情况是这样的:
在14年前提交的9824d86代码更新中,负责管理下的组件DownloadManager忽略任何SSL/TLS证书的验证错误,也就是无论是过期证书、自签名证书、伪造的任意证书都会被接受。
这意味着攻击者可以利用漏洞发起中间人攻击(MiTM),例如伪造合法服务器并拦截、修改或劫持数据,而qBittorrent对此不会有任何报错。
直到2天前qBittorrent才发布v5.0.1版将这个漏洞修复,因此如果你使用qBittorrent应当立即升级到v5.0.1及后续版本。
这个漏洞的潜在危害:
例如在Windows上无法使用Python时,qBittorrent会提示用户通过指向Python可执行文件的硬编码URL进行安装。
由于缺乏必要的SSL/TLS证书验证,攻击者可以拦截该请求并将其替换为恶意安装包,当用户使用恶意安装包进行部署时那就会被感染恶意软件或后门程序。
还有个案例是qBittorrent会自动从硬编码的URL下载压缩的GeoIP数据库并进行解压缩,攻击者则可以利用这个特性编写特制文件利用潜在的内存溢出漏洞。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】