Aufgrund einer Chromanfälligkeit, die alle freigegebenen Versionen des Nebelbrowsers Beta V0.9.3 und unten betrifft, geben wir diese Warnwarnung von Benutzern aus, um nicht vertrauenswürdige Websites mit Mist Browser Beta zu durchsuchen. Benutzer der Desktop -App “Ethereum Wallet” sind nicht betroffen.
Betroffene Konfigurationen: Nebelbrowser Beta v0.9.3 und unter Wahrscheinlichkeit: Mittelschweregrad: Hoch
Bösartige Websites können möglicherweise Ihre privaten Schlüssel stehlen.
Da die Ethereum Wallet -Desktop -App nicht als Browser qualifiziert ist – sie greift nur auf die lokale Brieftasche Dapp zu – sie unterliegt nicht derselben Kategorie von in Mist vorhandenen Themen. Im Moment wird empfohlen, zu verwenden Ethereum Brieftasche Fonds verwalten und stattdessen mit intelligenten Verträgen interagieren.
Die Vision von Mist Browser ist es, eine vollständige nachtraße Brücke zur Ethereum-Blockchain und der Technologien zu sein, die das Web3 zusammenstellen. Der Browser ebnet einen bedeutenden Weg für das nächste Netz, das unser Ökosystem stolz aufbaut.
Sicherheitsweise ist es eine herausfordernde Aufgabe, einen Browser (eine App, die nicht vertrauenswürdige Code lädt) zu machen, die private Schlüssel übernimmt. Im Laufe des letzten Jahres hatten wir Cure53 eine umfassende Sicherheitsprüfung von Nebel durchführen und die Sicherheit des Nebelbrowsers und der zugrunde liegenden Plattform Electron erheblich verbessert. Wir haben schnell gefundene Sicherheitsprobleme behoben.
Aber das ist nicht genug. Sicherheit im Browserraum ist ein unendlicher Kampf. Der Nebelbrowser basiert auf Elektronen, das auf Chrom basiert. Jede neue Chrom -Veröffentlichung behebt zahlreiche Sicherheitsprobleme.
Die Schicht zwischen Nebel und Chrom, Elektronist ein Projekt, das von GitHub geleitet wird, das die Erstellung von plattformübergreifenden Anwendungen mithilfe von JavaScript erleichtern soll. Vor kurzem hat Electron mit Chrom nicht auf dem Laufenden gehalten, was im Laufe der Zeit zu einer zunehmenden potenziellen Angriffsfläche geführt hat.
Ein Kernproblem bei der aktuellen Architektur besteht darin, dass jede 0-Tage-Chromanfälligkeit mehrere Patch-Schritt von Mist entfernt ist: Erst Chromium muss gepatcht werden, dann muss Electron die Chrom-Version aktualisieren, und schließlich muss Mist auf die neue Elektronenversion aktualisieren.
Wir untersuchen, wie wir mit Electrons nicht so frequentem Freisetzungsplan umgehen können, um die Lücke zwischen den von uns verwendeten Chromversionen zu verringern. Aus vorläufigen Studien,, Brave’s Myon (Eine Elektronengabel) folgt Chrom -Updates eng und ist eine potenzielle Option. Der mutige Browser, der auch eine Kryptowährungs-Brieftaschenintegration enthält, hat ein ähnliches Bedrohungsmodell und die Sicherheitsanforderungen als Nebel.
Eine wichtige Erinnerung: Mist ist immer noch Beta -Software, und Sie müssen sie als solche behandeln. Die Nebelbrowser -Beta wird auf einer “As is” und “As Ventil As Ventil” -Basis bereitgestellt, und es gibt keine Gewährleistungen jeglicher Art, ausgedrückt oder stillschweigend, einschließlich, aber nicht beschränkt auf die Garantien für die Handelsfähigkeit oder die Grundlage des Zwecks. Schnelle Sicherheits -Checkliste:
- Vermeiden Sie es, große Mengen an Äther oder Token in privaten Schlüssel auf einem Online -Computer zu halten. Verwenden Sie stattdessen eine Hardware-Brieftasche, ein Offline-Gerät oder eine vertragsbasierte Lösung (vorzugsweise eine Mischung aus diesen).
- Sichern Sie Ihre privaten Schlüssel – Cloud -Dienste sind nicht die beste Option, um sie zu speichern.
- Besuchen Sie nicht unbetragete Websites mit Nebel.
- Verwenden Sie keinen Nebel in nicht vertrauenswürdigen Netzwerken.
- Halten Sie Ihren täglichen Browser auf dem neuesten Stand.
- Behalten Sie Ihre Betriebssystem- und Anti-Virus-Updates im Auge.
- Erfahren Sie, wie Sie Dateiüberprüfungen überprüfen (Link).
Zuletzt möchten wir den Sicherheitsforschern danken, die hart daran gearbeitet haben Ethereum Bounty -Programm.
Wenn Sie weitere Informationen benötigen, wenden Sie sich hier an: Nebel[at]Ethereum Punkt Org.
[We’ll update this post as the situation evolves].
@evertonfraga Mist Team
