速報:Mistに重大なエラー Ethereum Foundationからの公式発表
Mistのβ版 0.8.7がリリースされました。
またイーサリアムファンデーションからの公式発表がありましたので
セキュリティアラート
ミスト(Mist)はDapp(分散アプリケーション)がコンピューターファイルシステムにアクセスを得て、おかつデータの読み取りや消去をする可能性のあるいくつかLow-Level APIの脆弱性をリークし、この脆弱性を知っていて特にユーザーを故意に攻撃しようとしている未確認のDappを使用した場合にのみ影響を及ぼします。
攻撃に晒されるリスクを防ぐために、Mistのアップデートを強くすすめます
影響されるコンフィギュレーション:全てのバージョンのMistと0.8.6以前(外部Dappが読み取れないためイーサリアムウォレットを心配ありません)
可能性:中
重要度:高
概要
一部のMist API方式は危険に晒され、悪意のあるウェブページが特権をもつインターフェイスにアクセスが可能となり、HDDなどのローカルファイルシステムの消去や、登録されたプロトコルハンドラの起動、さらにはユーザーディレクトリやコインベースなどの秘密情報を入手されてしまいます。
攻撃される可能性のあるMist APIは:
mist.shell
mist.dirname
mist.syncMinimongo
もしアカウントがDappに許可していない場合はweb3.eth.coinbase
は現在 null
解決策
最新のミストブラウザへとアップグレードをして下さい
今までのバージョンのMistでは全ての未確認のウェブページに移動しないこと、または未確認の送信元からのローカルウェブページにアクセスしないこと。イーサリアムウォレットは外部ページに移動が許可されていないため影響を受けません。
これはMistはイーサリアムアプリケーションの開発とエンドユーザーはオープンウェブページへは少なくともバージョン1.0まではアクセスすべきではないといういい警告で、予定としてはMistの外部監査は12月からとなります
報奨金プログラム
Mistは脆弱性やバグを見つけた場合に報奨金を出すプログラムを採用することを検討しています。もし何か発見した際は下記まで連絡をお願いします。
結論と考察
コミュニティでは速報を出しましたが全然話題になってませんね
結構やばいバグだと思いますがどうなんでしょう。。。すでに被害にあった人もいそうな気がしますけど
ローカルにアクセス可能ならできるハッカーなら秘密鍵くらい抜いてけそうですけどね
Mist使用者はアップデートすることと、可能なら使わないほうがいいかもしれません。
他の重大なバグもある可能性もあるし
The DAOハッカーの件といい、Mistといい毎度事件が絶えないイーサ
現在はビットコインの上昇相場のせいかイーサリアム(ETH)は170を割ってしまいました イーサリアムクラシック(ETC)は0.0015を切り
ここにさらなる新しいアタッカーの攻撃がくればすごいことになる??
このブログは下記サイトへと移転しています。