В кошельке Electrum исправлена критическая уязвимость, позволявшая сайтам украсть биткоины

Уязвимость в Electrum

В «легком» кошельке для биткоина Electrum вечером 6 января была обнаружена критическая уязвимость, которая позволяла получить доступ к кошельку через Javascript. Таким образом, вредоносные сайты могли украсть биткоины пользователей при посещении этих сайтов, если кошелек Electrum в это время был запущен.

Хакер или вредоносный сайт может подключиться к кошельку через включенный по умолчанию интерфейс JSON RPC и передать ему произвольные консольные команды, в том числе на экспорт ключей.

Кошельки без пароля подвергаются наибольшей опасности. Если кошелек зашифрован с помощью достаточно сложного пароля, то он находится в относительной безопасности, если его владелец не совершает транзакций или других действий, которые на короткое время оставляют кошелек незащищенным.

Уязвимость относится также к копиям Electrum, например, Electron Cash.

Уязвимость была частично исправлена в версии 3.0.4, которая выложена на сайте Electrum 7 января, а в ночь на 8 января опубликована версия 3.05, которая закрывает уязвимость более надежно, отключая интерфейс JSON RPC при запущенном графическом интерфейсе кошелька, а также защищая его паролем по умолчанию.

Всем пользователям этого кошелька необходимо как можно быстрее установить исправление, прежде чем продолжать пользоваться кошельком.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *