В кошельках Electrum устранена критическая уязвимость - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » В кошельках Electrum устранена критическая уязвимость - «Новости»

Еще в ноябре 2017 года пользователь GitHub, известный как jsmad, обратил внимание разработчиков криптовалютного кошелька Electrum на обнаруженную в коде проблему. Как выяснилось, баг позволял любому сайту и людям, которые его контролируют, похищать средства пользователя, если Electrum был запущен одновременно с браузером и не защищен паролем. Если пароль все же был установлен, это должно было защитить пользователя, если тот не осуществлял транзакций.


К сожалению, осознать всю опасность проблемы в полной мере разработчики Electrum сумели только после дополнительного предупреждения, полученного от специалиста Google Project Zero Тевиса Орманди. Недавно эксперт обнаружил ту же самую уязвимость, узнал, что о ней уже сообщали ранее, и обратил внимание разработчиков на тот факт, что баг в высшей степени опасный.





В результате 7 января 2018 года для Electrum был выпущен экстренный патч, а 8 января появилась новая версия кошелька (3.0.5), в которой уязвимость была устранена окончательно. Так как кошельки не предусматривают автоматического обновления, теперь безопасность пользователей в их собственных руках и зависит от того, как часто они проверяют обновления ПО.





Как выяснилось, уязвимость присутствовала в коде Electrum с начала 2016 года, с версии 2.6. Проблема связана с интерфейсом JSON-RPC, реализация которого в Electrum оказалась небезопасной. Ниже можно увидеть демонстрацию работы простого proof-of-concept эксплоита.





Доподлинно неизвестно, знали ли о данной проблеме злоумышленники, и были ли случаи ее реальной эксплуатации и хищения средств. Стоит заметить, что еще в ноябре 2017 года ИБ-эксперты зафиксировали волну сканирований: тогда неизвестные лица прицельно искали «смотрящие» в интернет интерфейсы JSON-RPC.


Фото: Depositphotos   


Источник новостиgoogle.com

Еще в ноябре 2017 года пользователь GitHub, известный как jsmad, обратил внимание разработчиков криптовалютного кошелька Electrum на обнаруженную в коде проблему. Как выяснилось, баг позволял любому сайту и людям, которые его контролируют, похищать средства пользователя, если Electrum был запущен одновременно с браузером и не защищен паролем. Если пароль все же был установлен, это должно было защитить пользователя, если тот не осуществлял транзакций. К сожалению, осознать всю опасность проблемы в полной мере разработчики Electrum сумели только после дополнительного предупреждения, полученного от специалиста Google Project Zero Тевиса Орманди. Недавно эксперт обнаружил ту же самую уязвимость, узнал, что о ней уже сообщали ранее, и обратил внимание разработчиков на тот факт, что баг в высшей степени опасный. The bitcoin wallet Electrum allows any website to steal your bitcoins. I was gonna report it…but there was already an open issue from last year. I pointed out this is kinda critical, and they made a new release within a few hours. Update to 3.0.4 if you use it. — Tavis Ormandy (@taviso) January 7, 2018 В результате 7 января 2018 года для Electrum был выпущен экстренный патч, а 8 января появилась новая версия кошелька (3.0.5), в которой уязвимость была устранена окончательно. Так как кошельки не предусматривают автоматического обновления, теперь безопасность пользователей в их собственных руках и зависит от того, как часто они проверяют обновления ПО. New release: 3.0.5. (security update). https://t.co/Y2DXoUyOgk Please upgrade; release 3.0.4 did not completely address the vulnerability.https://t.co/rNyItkvMLb — Electrum (@ElectrumWallet) January 8, 2018 Как выяснилось, уязвимость присутствовала в коде Electrum с начала 2016 года, с версии 2.6. Проблема связана с интерфейсом JSON-RPC, реализация которого в Electrum оказалась небезопасной. Ниже можно увидеть демонстрацию работы простого proof-of-concept эксплоита. Update your

запостил(а)
Marlow
Вернуться назад
0

Смотрите также

А что там на главной? )))



Комментарии )))