Mistのβ版 0.8.7がリリースされました。

またイーサリアムファンデーションからの公式発表がありましたので

blog.ethereum.org

セキュリティアラート

ミスト(Mist)はDapp(分散アプリケーション)がコンピューターファイルシステムにアクセスを得て、おかつデータの読み取りや消去をする可能性のあるいくつかLow-Level APIの脆弱性をリークし、この脆弱性を知っていて特にユーザーを故意に攻撃しようとしている未確認のDappを使用した場合にのみ影響を及ぼします。

攻撃に晒されるリスクを防ぐために、Mistのアップデートを強くすすめます

影響されるコンフィギュレーション：全てのバージョンのMistと0.8.6以前（外部Dappが読み取れないためイーサリアムウォレットを心配ありません）

可能性：中

重要度：高

概要

一部のMist API方式は危険に晒され、悪意のあるウェブページが特権をもつインターフェイスにアクセスが可能となり、HDDなどのローカルファイルシステムの消去や、登録されたプロトコルハンドラの起動、さらにはユーザーディレクトリやコインベースなどの秘密情報を入手されてしまいます。

攻撃される可能性のあるMist APIは：

mist.shell
mist.dirname
mist.syncMinimongo

もしアカウントがDappに許可していない場合はweb3.eth.coinbaseは現在 null

解決策

最新のミストブラウザへとアップグレードをして下さい

github.com

今までのバージョンのMistでは全ての未確認のウェブページに移動しないこと、または未確認の送信元からのローカルウェブページにアクセスしないこと。イーサリアムウォレットは外部ページに移動が許可されていないため影響を受けません。

これはMistはイーサリアムアプリケーションの開発とエンドユーザーはオープンウェブページへは少なくともバージョン1.0まではアクセスすべきではないといういい警告で、予定としてはMistの外部監査は１２月からとなります

報奨金プログラム

Mistは脆弱性やバグを見つけた場合に報奨金を出すプログラムを採用することを検討しています。もし何か発見した際は下記まで連絡をお願いします。

bounty@ethereum.org

結論と考察

コミュニティでは速報を出しましたが全然話題になってませんね

結構やばいバグだと思いますがどうなんでしょう。。。すでに被害にあった人もいそうな気がしますけど

ローカルにアクセス可能ならできるハッカーなら秘密鍵くらい抜いてけそうですけどね

Mist使用者はアップデートすることと、可能なら使わないほうがいいかもしれません。

他の重大なバグもある可能性もあるし

The DAOハッカーの件といい、Mistといい毎度事件が絶えないイーサ

現在はビットコインの上昇相場のせいかイーサリアム(ETH)は１７０を割ってしまいました　イーサリアムクラシック(ETC)は0.0015を切り

ここにさらなる新しいアタッカーの攻撃がくればすごいことになる？？

このブログは下記サイトへと移転しています。

ethereum-japan.net

Follow @bokujyuumai