IT之家 11 月 2 日消息，科技媒體 bleepingcomputer 于 10 月 31 日發布博文，報道稱知名 BT 下載客戶端qBittorrent 修復了已存在 14 年的中間人劫持 / 遠程代碼執行漏洞。

該漏洞最早可以追溯到 2010 年 4 月 6 日，官方于 2024 年 10 月 28 日發布的最新版本 5.0.1 中修復，時隔超過 14 年。

IT之家注：該漏洞是由于應用程序的 DownloadManager 組件未能驗證 SSL / TLS 證書所導致的，而該組件負責管理整個應用程序的下載。

雖然漏洞已修復，但安全研究公司 Sharp Security 指出，qBittorrent 團隊未能向用戶充分通報此問題。

Sharp Security 指出，未驗證 SSL 證書的情況引發了多項安全風險，主要包括以下 4個風險：

惡意 Python 安裝：在 Windows 上提示用戶安裝 Python 時，攻擊者可替換為惡意安裝程序。

惡意更新鏈接：通過硬編碼的 URL 檢查更新時，攻擊者可替換更新鏈接，誘導用戶下載惡意軟件。

RSS 訂閱被篡改：攻擊者可攔截 RSS 訂閱內容，注入偽裝的惡意鏈接。

內存溢出漏洞：qBittorrent 自動下載的 GeoIP 數據庫可能被偽造服務器利用，導致內存溢出。

安全研究員指出，中間人攻擊在某些地區可能更為常見，用戶應盡快升級到最新版本 5.0.1，以確保安全。