BT 客户端 qBittorrent 修复存在 14 年的远程代码执行漏洞

admin 2024年11月3日00:07:49评论23 views字数 597阅读1分59秒阅读模式

BT 客户端 qBittorrent 修复存在 14 年的远程代码执行漏洞

关键词

漏洞

科技媒体 bleepingcomputer 于 10 月 31 日发布博文,报道称知名 BT 下载客户端 qBittorrent 修复了已存在 14 年的中间人劫持 / 远程代码执行漏洞。

该漏洞最早可以追溯到 2010 年 4 月 6 日,官方于 2024 年 10 月 28 日发布的最新版本 5.0.1 中修复,时隔超过 14 年。

注:该漏洞是由于应用程序的 DownloadManager 组件未能验证 SSL / TLS 证书所导致的,而该组件负责管理整个应用程序的下载。

虽然漏洞已修复,但安全研究公司 Sharp Security 指出,qBittorrent 团队未能向用户充分通报此问题。

Sharp Security 指出,未验证 SSL 证书的情况引发了多项安全风险,主要包括以下 4 个风险:

  • 恶意 Python 安装:在 Windows 上提示用户安装 Python 时,攻击者可替换为恶意安装程序。

  • 恶意更新链接:通过硬编码的 URL 检查更新时,攻击者可替换更新链接,诱导用户下载恶意软件。

  • RSS 订阅被篡改:攻击者可拦截 RSS 订阅内容,注入伪装的恶意链接。

  • 内存溢出漏洞:qBittorrent 自动下载的 GeoIP 数据库可能被伪造服务器利用,导致内存溢出。

安全研究员指出,中间人攻击在某些地区可能更为常见,用户应尽快升级到最新版本 5.0.1,以确保安全。

BT 客户端 qBittorrent 修复存在 14 年的远程代码执行漏洞

  END  

原文始发于微信公众号(安全圈):【安全圈】BT 客户端 qBittorrent 修复存在 14 年的远程代码执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月3日00:07:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   BT 客户端 qBittorrent 修复存在 14 年的远程代码执行漏洞https://cn-sec.com/archives/3348667.html

发表评论

匿名网友 填写信息