Разработчик рассказал об исправленной уязвимости Bitcoin Core

В ранних релизах программного обеспечения Bitcoin Core присутствовала уязвимость, актуальная для версий клиентов под Windows и Linux. Об этом сообщил разработчик Эндрю Чоу.

Disclosure of a likely unexploitable URI argument injection vulnerability present in Bitcoin Core 0.18 and earlier. This has been fixed since 0.19.https://t.co/gGhXASrOtM

— Andrew Chow (@achow101) February 1, 2021

По его словам, уязвимость могла привести к удаленному выполнению кода на компьютере. Баг присутствовал в клиентах Bitcoin Core версии 0.18 и более ранних. Его устранили в релизе 0.19.

В статье разработчик указал на три технических аспекта атаки: унифицированный идентификатор ресурса (URI), графическое ПО Qt5 и методы взаимодействия компьютера с ними.

Проблема заключалась в Qt5, не способном выявлять зловредные URI. Теоретически злоумышленник мог отправить вредоносный код и установить опасное расширение.

Disclosure of a likely unexploitable URI argument injection vulnerability present in Bitcoin Core 0.18 and earlier. This has been fixed since 0.19.https://t.co/gGhXASrOtM

— Andrew Chow (@achow101) February 1, 2021

«Учитывая средства защиты в современных браузерах и среде Linux, я не верю, что эту уязвимость можно использовать», — написал Чоу.

В сентябре 2020 года разработчик Брейдон Фуллер рассказал о выявленной в 2018 году проблеме в клиентах Bitcoin Core версий 0.16.0 и 0.16.1. Багу присвоили уровень важности 7,8 по десятибалльной шкале — с его помощью злоумышленники могли похитить средства, задержать платежи и разделить блокчейн на конфликтующие цепи.

Напомним, 14 января 2021 года вышла версия 0.21.0 клиента Bitcoin Core с поддержкой V3-адресов Tor Network и дескрипторных кошельков.

Подписывайтесь на новости ForkLog в Telegram: ForkLog FEED — вся лента новостей, ForkLog — самые важные новости и опросы.