Mist leckt einige APIs mit niedriger Ebene, mit denen Dapps zu Zugriff auf das Dateisystem des Computers erhalten und Dateien gelesen/löschen. Dies würde Sie nur beeinflussen, wenn Sie zu einer nicht vertrauenswürdigen DAPP navigieren, die über diese Schwachstellen kennt und speziell versucht, Benutzer anzugreifen. Das Aufbau von Nebel wird dringend empfohlen, um die Exposition gegenüber Angriffen zu verhindern.
Betroffene Konfigurationen: Alle Versionen von Nebel von 0,8,6 und niedriger. Diese Sicherheitsanfälligkeit wirkt sich nicht auf die Ethereum -Brieftasche aus, da sie externe Dapps nicht laden kann.
Wahrscheinlichkeit: Medium
Schwere: Hoch
Zusammenfassung
Einige Mist -API -Methoden wurden ausgesetzt, sodass böswillige Webseiten auf eine privilegierte Schnittstelle zugreifen können, die Dateien auf dem lokalen Dateisystem löschen oder registrierte Protokollhandler starten und vertrauliche Informationen wie das Benutzerverzeichnis oder das “Coinbase” des Benutzers erhalten können. Verletzliche exponierte Mist -APIs:
mist.shellmist.dirnamemist.syncMinimongoweb3.eth.coinbaseist jetzt
nullwenn das Konto für den Dapp nicht zulässig ist
Lösung
Upgrade auf die Neueste Version des Nebelbrowsers. Verwenden Sie keine früheren Mist -Versionen, um zu einer nicht vertrauenswürdigen Webseite oder lokalen Webseiten aus unbekannten Ursprüngen zu navigieren. Die Ethereum -Brieftasche ist nicht betroffen, da die Navigation auf externe Seiten nicht zulässt. Dies ist eine gute Erinnerung daran, dass Mist derzeit nur für die Entwicklung der Ethereum -App in Betracht gezogen wird und nicht für Endbenutzer verwendet werden sollte, um im offenen Web zu navigieren, wenn er mindestens Version 1.0 erreicht hat. Eine externe Prüfung von Mist ist für Dezember geplant.
Ein großer Dank geht an @tintinweb Für seine sehr nützliche Reproduktions -App, um die Schwachstellen zu testen!
Wir denken auch darüber nach, dem Kopfgeldprogramm Nebel hinzuzufügen. Wenn Sie Schwachstellen oder schwere Fehler finden bounty@ethereum.org
