Разработчики Electrum сообщили об устранении критической уязвимости

Команда биткоин-кошелька Electrum подтвердила наличие критической уязвимости, которая позволяла получить доступ к средствам пользователей через Javascript. Срочно выпущенные обновления, как утверждается, эту проблему решили.

Вопрос был поднят на Reddit и BitcoinTalk – как стало известно, вредоносные сайты могли красть биткоины при их посещении, если кошелек Electrum в это время был запущен. Доступ к средствам был возможен через включенный по умолчанию интерфейс JSON RPC, через который хакерам передавались произвольные консольные команды, в том числе на экспорт ключей.

Наибольшей опасности при этом подвергались кошельки без установленного пароля. Достаточно сложный пароль при этом, как предполагается, гарантировал относительную безопасность, если владелец кошелька не совершал в это время транзакций.

Уязвимость была частично исправлена в версии 3.0.4, а в ночь на понедельник, 8 января, команда Electrum выложила версию 3.05 кошелька, которая, как предполагается, закрывает уязвимость более надежно.

Electrum@ElectrumWallet

New release: 3.0.5. (security update). https://electrum.org/#download 
Please upgrade; release 3.0.4 did not completely address the vulnerability.https://github.com/spesmilo/electrum/blob/master/RELEASE-NOTES 

spesmilo/electrum

Electrum; Bitcoin thin client. Contribute to electrum development by creating an account on GitHub.

github.com

  •  1212 Replies

  •  161161 Retweets

  •  178178 likes

Twitter Ads information and privacy

В частности, отключен интерфейс JSON RPC при запущенном графическом интерфейсе кошелька, а также по умолчанию включена защита кошелька паролем.

Уязвимость относится также к копиям Electrum, например, Electron Cash.

Всем пользователям Electrum рекомендуется как можно быстрее установить новую версию, прежде чем продолжать пользоваться кошельком.

https://forklog.com

Разработчики Electrum сообщили об устранении критической уязвимости Обновлено: 2018-01-08 автором: Admin