Разработчики Electrum сообщили об устранении критической уязвимости

Команда биткоин-кошелька Electrum подтвердила наличие критической уязвимости, которая позволяла получить доступ к средствам пользователей через Javascript. Срочно выпущенные обновления, как утверждается, эту проблему решили.

Вопрос был поднят на Reddit и BitcoinTalk – как стало известно, вредоносные сайты могли красть биткоины при их посещении, если кошелек Electrum в это время был запущен. Доступ к средствам был возможен через включенный по умолчанию интерфейс JSON RPC, через который хакерам передавались произвольные консольные команды, в том числе на экспорт ключей.

Наибольшей опасности при этом подвергались кошельки без установленного пароля. Достаточно сложный пароль при этом, как предполагается, гарантировал относительную безопасность, если владелец кошелька не совершал в это время транзакций.

Уязвимость была частично исправлена в версии 3.0.4, а в ночь на понедельник, 8 января, команда Electrum выложила версию 3.05 кошелька, которая, как предполагается, закрывает уязвимость более надежно.

New release: 3.0.5. (security update). https://t.co/Y2DXoUyOgk
Please upgrade; release 3.0.4 did not completely address the vulnerability.https://t.co/rNyItkvMLb

— Electrum (@ElectrumWallet) 8 January 2018

В частности, отключен интерфейс JSON RPC при запущенном графическом интерфейсе кошелька, а также по умолчанию включена защита кошелька паролем.

Уязвимость относится также к копиям Electrum, например, Electron Cash.

Всем пользователям Electrum рекомендуется как можно быстрее установить новую версию, прежде чем продолжать пользоваться кошельком.

Подписывайтесь на новости ForkLog в Twitter!