Разработчики Electrum сообщили об устранении критической уязвимости.

Команда биткоин-кошелька Electrum подтвердила наличие критической уязвимости, которая позволяла получить доступ к средствам пользователей через Javascript. Срочно выпущенные обновления, как утверждается, эту проблему решили.Вопрос был поднят на Reddit и BitcoinTalk – как стало известно, вредоносные сайты могли красть биткоины при их посещении, если кошелек Electrum в это время был запущен. Доступ к средствам был возможен через включенный по умолчанию интерфейс JSON RPC, через который хакерам передавались произвольные консольные команды, в том числе на экспорт ключей.Наибольшей опасности при этом подвергались кошельки без установленного пароля. Достаточно сложный пароль при этом, как предполагается, гарантировал относительную безопасность, если владелец кошелька не совершал в это время транзакций.Уязвимость была частично исправлена в версии 3.0.4, а в ночь на понедельник, 8 января, команда Electrum выложила версию 3.05 кошелька, которая, как предполагается, закрывает уязвимость более надежно.В частности, отключен интерфейс JSON RPC при запущенном графическом интерфейсе кошелька, а также по умолчанию включена защита кошелька паролем.Уязвимость относится также к копиям Electrum, например, Electron Cash.Всем пользователям Electrum рекомендуется как можно быстрее установить новую версию, прежде чем продолжать пользоваться кошельком.