墨汁の暗号通貨速報

主にETC、BTCを中心に海外で手に入れた情報を最速?で掲載してます

速報:Mistに重大なエラー Ethereum Foundationからの公式発表

Mistのβ版 0.8.7がリリースされました。

またイーサリアムファンデーションからの公式発表がありましたので

 

blog.ethereum.org

 

セキュリティアラート

ミスト(Mist)はDapp(分散アプリケーション)がコンピューターファイルシステムにアクセスを得て、おかつデータの読み取りや消去をする可能性のあるいくつかLow-Level API脆弱性をリークし、この脆弱性を知っていて特にユーザーを故意に攻撃しようとしている未確認のDappを使用した場合にのみ影響を及ぼします。

攻撃に晒されるリスクを防ぐために、Mistのアップデートを強くすすめます

 

影響されるコンフィギュレーション:全てのバージョンのMistと0.8.6以前(外部Dappが読み取れないためイーサリアムウォレットを心配ありません)

可能性:中

重要度:高

 

概要

一部のMist API方式は危険に晒され、悪意のあるウェブページが特権をもつインターフェイスにアクセスが可能となり、HDDなどのローカルファイルシステムの消去や、登録されたプロトコルハンドラの起動、さらにはユーザーディレクトリやコインベースなどの秘密情報を入手されてしまいます。

 

攻撃される可能性のあるMist APIは:

mist.shell
mist.dirname
mist.syncMinimongo

もしアカウントがDappに許可していない場合はweb3.eth.coinbaseは現在 null

 

解決策

最新のミストブラウザへとアップグレードをして下さい

github.com

 

今までのバージョンのMistでは全ての未確認のウェブページに移動しないこと、または未確認の送信元からのローカルウェブページにアクセスしないこと。イーサリアムウォレットは外部ページに移動が許可されていないため影響を受けません。

 

これはMistはイーサリアムアプリケーションの開発とエンドユーザーはオープンウェブページへは少なくともバージョン1.0まではアクセスすべきではないといういい警告で、予定としてはMistの外部監査は12月からとなります

 

報奨金プログラム

Mistは脆弱性やバグを見つけた場合に報奨金を出すプログラムを採用することを検討しています。もし何か発見した際は下記まで連絡をお願いします。

bounty@ethereum.org

 

結論と考察

コミュニティでは速報を出しましたが全然話題になってませんね

結構やばいバグだと思いますがどうなんでしょう。。。すでに被害にあった人もいそうな気がしますけど

 

ローカルにアクセス可能ならできるハッカーなら秘密鍵くらい抜いてけそうですけどね

 

Mist使用者はアップデートすることと、可能なら使わないほうがいいかもしれません。

他の重大なバグもある可能性もあるし

 

The DAOハッカーの件といい、Mistといい毎度事件が絶えないイーサ

現在はビットコインの上昇相場のせいかイーサリアム(ETH)は170を割ってしまいました イーサリアムクラシック(ETC)は0.0015を切り

 

ここにさらなる新しいアタッカーの攻撃がくればすごいことになる??

 

このブログは下記サイトへと移転しています。

ethereum-japan.net