qBittorrent, BitTorrent protokolü üzerinden dosya indirmek ve paylaşmak için ücretsiz ve açık kaynaklı bir istemci. Platformlar arası yapısı, IP filtrelemesi, entegre arama motoru, RSS besleme desteği ve modern Qt tabanlı arayüzüyle popüler hale geldi. Ancak, güvenlik araştırmacısı Sharp Security’nin blogunda dikkat çektiği üzere, qBittorrent ekibi kullanıcıları yeterince bilgilendirmeden ve soruna ilişkin CVE atamadan önemli bir hatayı düzeltti.
qBittorrent'te hangi güvenlik açığı kapatıldı?
Temel sorun, 2010'dan beri qBittorrent'in sahte/yasadışı sertifikalar dahil olmak üzere her türlü sertifikayı kabul etmesi; bu sayede de aracı konumundaki saldırganların ağ trafiğini değiştirmesine imkan verdirtmesi.
SSL sertifikaları, sunucunun sertifikasının bir Sertifika Yetkilisi (CA) tarafından gerçek ve güvenilir olduğunu doğrulayarak kullanıcıların geçerli sunuculara güvenli bir şekilde bağlanmasını sağlamaya yardımcı oluyor. Bu doğrulama atlandığında, geçerli sunucu gibi davranan herhangi bir sunucu veri akışındaki verileri kesebiliyor, değiştirebiliyor veya ekleyebiliyor; qBittorrent te bu verilere güveniyor.
Uygulamanın SSL sertifikası doğrulaması yapmadan bir bağlantıyı kabul edip etmeyeceğini yöneten ayar, kullanıcılar tarafından hala erişilebilir durumda. Bu ayar devre dışı da bırakılabiliyor.
Kaynakça https://www.bleepingcomputer.com/news/security/qbittorrent-fixes-flaw-exposing-users-to-mitm-attacks-for-14-years/ https://sharpsec.run/rce-vulnerability-in-qbittorrent/ Bu haberi, mobil uygulamamızı kullanarak indirip,istediğiniz zaman (çevrim dışı bile) okuyabilirsiniz:
NE korkutuculugu YHA hadi ordan o ZMN internetde kullanmayn ???
Bana çok korkutucu geliyor bunlar.