Разработчики Electrum сообщили об устранении критической уязвимости
Business NewsКоманда биткоин-кошелька Electrum подтвердила наличие критической уязвимости, которая позволяла получить доступ к средствам пользователей через Javascript. Срочно выпущенные обновления, как утверждается, эту проблему решили.
Вопрос был поднят на Reddit и BitcoinTalk – как стало известно, вредоносные сайты могли красть биткоины при их посещении, если кошелек Electrum в это время был запущен. Доступ к средствам был возможен через включенный по умолчанию интерфейс JSON RPC, через который хакерам передавались произвольные консольные команды, в том числе на экспорт ключей.
Наибольшей опасности при этом подвергались кошельки без установленного пароля. Достаточно сложный пароль при этом, как предполагается, гарантировал относительную безопасность, если владелец кошелька не совершал в это время транзакций.
Уязвимость была частично исправлена в версии 3.0.4, а в ночь на понедельник, 8 января, команда Electrum выложила версию 3.05 кошелька, которая, как предполагается, закрывает уязвимость более надежно.
Electrum@ElectrumWallet
New release: 3.0.5. (security update). https://electrum.org/#download
Please upgrade; release 3.0.4 did not completely address the vulnerability.https://github.com/spesmilo/electrum/blob/master/RELEASE-NOTES …02:32 — 8 Jan 2018
spesmilo/electrum
Electrum; Bitcoin thin client. Contribute to electrum development by creating an account on GitHub. github.com
- 1212 Replies
- 161161 Retweets
- 178178 likes
Twitter Ads information and privacy
В частности, отключен интерфейс JSON RPC при запущенном графическом интерфейсе кошелька, а также по умолчанию включена защита кошелька паролем.
Уязвимость относится также к копиям Electrum, например, Electron Cash.
Всем пользователям Electrum рекомендуется как можно быстрее установить новую версию, прежде чем продолжать пользоваться кошельком.
Источник: http://forexpower.ru/razrabotchiki-electrum-soobshhili-ob-ustranenii-kriticheskoj-uyazvimosti.html