據悉,該漏洞允許托管Electrum錢包的惡意網站通過Web瀏覽器竊取用戶的加密貨幣,研究人員猜測這可能與JSONRPC接口中的密碼暴露有關。
此外,攻擊者還可以利用該漏洞獲得私人數據,例如比特幣地址、交易標簽、地址標簽、錢包聯系人等信息。目前該漏洞影響了幾乎所有平臺上的 Electrum 2.6 3.0.4 版本。
研究人員介紹了該漏洞的具體細節:當 Electrum 后臺程序運行時,在web服務器上不同虛擬主機的攻擊者可以通過本地的RPC端口輕易地訪問electrum錢包。此外,該漏洞還允許攻擊者在運行Electrum時修改用戶設置。
相關媒體報道稱該漏洞早在兩年前就已經存在,Electrum之前也發布過針對該漏洞的安全補丁,不過當時并未起到作用。研究人員建議用戶應升級其 Electrum 軟件,并停止使用舊版本。
本文來自Hacker News
京公網安備 11010502049343號