Mistのβ版 0.8.7がリリースされました。
またイーサリアムファンデーションからの公式発表がありましたので
セキュリティアラート
ミスト(Mist)はDapp(分散アプリケーション)がコンピューターファイルシステムにアクセスを得て、おかつデータの読み取りや消去をする可能性のあるいくつかLow-Level APIの脆弱性をリークし、この脆弱性を知っていて特にユーザーを故意に攻撃しようとしている未確認のDappを使用した場合にのみ影響を及ぼします。
攻撃に晒されるリスクを防ぐために、Mistのアップデートを強くすすめます
影響されるコンフィギュレーション:全てのバージョンのMistと0.8.6以前(外部Dappが読み取れないためイーサリアムウォレットを心配ありません)
可能性:中
重要度:高
概要
一部のMist API方式は危険に晒され、悪意のあるウェブページが特権をもつインターフェイスにアクセスが可能となり、HDDなどのローカルファイルシステムの消去や、登録されたプロトコルハンドラの起動、さらにはユーザーディレクトリやコインベースなどの秘密情報を入手されてしまいます。
攻撃される可能性のあるMist APIは:
mist.shellmist.dirnamemist.syncMinimongo
もしアカウントがDappに許可していない場合はweb3.eth.coinbaseは現在 null
解決策
最新のミストブラウザへとアップグレードをして下さい
今までのバージョンのMistでは全ての未確認のウェブページに移動しないこと、または未確認の送信元からのローカルウェブページにアクセスしないこと。イーサリアムウォレットは外部ページに移動が許可されていないため影響を受けません。
これはMistはイーサリアムアプリケーションの開発とエンドユーザーはオープンウェブページへは少なくともバージョン1.0まではアクセスすべきではないといういい警告で、予定としてはMistの外部監査は12月からとなります
報奨金プログラム
Mistは脆弱性やバグを見つけた場合に報奨金を出すプログラムを採用することを検討しています。もし何か発見した際は下記まで連絡をお願いします。
結論と考察
コミュニティでは速報を出しましたが全然話題になってませんね
結構やばいバグだと思いますがどうなんでしょう。。。すでに被害にあった人もいそうな気がしますけど
ローカルにアクセス可能ならできるハッカーなら秘密鍵くらい抜いてけそうですけどね
Mist使用者はアップデートすることと、可能なら使わないほうがいいかもしれません。
他の重大なバグもある可能性もあるし
The DAOハッカーの件といい、Mistといい毎度事件が絶えないイーサ
現在はビットコインの上昇相場のせいかイーサリアム(ETH)は170を割ってしまいました イーサリアムクラシック(ETC)は0.0015を切り
ここにさらなる新しいアタッカーの攻撃がくればすごいことになる??
記事更新には多大な時間がかかり、モチベーション維持が大変です。役に立った、早くしれてよかったなどありましたら気持ちほど寄付していただければ幸いです!
Indie Squareなどのカウンターパーティーウォレットをご準備ください。すでにお持ちの方は上記Tip Meから行っていただいた方が自動なので早く(1日〜2日)お返しできます。QRコードの方は手動確認となりますので少々(3-4日)お時間がかかります
寄付者には現在1.5円=1BKJにてお返ししております。
BKJトークンでできること
・不定期ですが配当をBTCにてお配りします。(第一回は配当済み)
・500BKJ以上保持している方は極秘暗号通貨の方をアクセスできます!投稿内容はトレード手法の全公開、自分が見つけた極秘?サイトなど公開、ソーシャルネットワークやRedditでまだ未公開の情報の先行公開などいろいろ更新しています。
・特定条件を満たした際、イベントを行い投票専用SUMIトークン(XSM$)による抽選を行い景品配布などを行います(手数料や送料など一切かかりません)
1LsGWycRiMxdfkUpQGT9AUsbe4Kcp4xYiT
Bitcoin寄付アドレス
0x790B488e4b65471BB302fE4Bc2CE19B55Bf23052
ETC寄付アドレス
記事の拡散は下から!
