Trending News

BTC
$23,319.42
-0.4
ETH
$1,666.10
+0.22
LTC
$98.43
-1.97
DASH
$61.34
-2.39
XMR
$171.71
+0.02
NXT
$0.00
-0.4
ETC
$23.84
+1.23

सुरक्षा चेतावनी – दुर्भावनापूर्ण डीएपी पर नेविगेट करते समय धुंध कमजोर हो सकती है

0


मिस्ट कुछ निम्न स्तर के एपीआई को लीक करता है, जिसका उपयोग डैप कंप्यूटर के फाइल सिस्टम तक पहुंच प्राप्त करने और फाइलों को पढ़ने/हटाने के लिए कर सकता है। यह केवल आपको प्रभावित करेगा यदि आप एक अविश्वसनीय डैप पर नेविगेट करते हैं जो इन कमजोरियों के बारे में जानता है और विशेष रूप से उपयोगकर्ताओं पर हमला करने की कोशिश करता है। हमलों के जोखिम को रोकने के लिए मिस्ट को अपग्रेड करने की अत्यधिक अनुशंसा की जाती है।

प्रभावित विन्यास: मिस्ट के सभी संस्करण 0.8.6 और उससे पहले के। यह भेद्यता एथेरियम वॉलेट को प्रभावित नहीं करती है क्योंकि यह बाहरी डीएपी को लोड नहीं कर सकता है।
संभावना: मध्यम
तीव्रता: उच्च

सारांश

कुछ मिस्ट एपीआई विधियों को उजागर किया गया, जिससे दुर्भावनापूर्ण वेबपृष्ठों के लिए एक विशेषाधिकार प्राप्त इंटरफ़ेस तक पहुंच प्राप्त करना संभव हो गया, जो स्थानीय फाइल सिस्टम पर फ़ाइलों को हटा सकता था या पंजीकृत प्रोटोकॉल हैंडलर लॉन्च कर सकता था और संवेदनशील जानकारी प्राप्त कर सकता था, जैसे कि उपयोगकर्ता निर्देशिका या उपयोगकर्ता का “कॉइनबेस”। कमजोर उजागर धुंध एपीआई:

mist.shell

mist.dirname

mist.syncMinimongo

web3.eth.coinbase

अब है

null

अगर खाते को डैप के लिए अनुमति नहीं है

समाधान

में अपग्रेड करें धुंध ब्राउज़र का नवीनतम संस्करण. किसी भी अविश्वसनीय वेबपेज, या अज्ञात मूल से स्थानीय वेबपेजों पर नेविगेट करने के लिए मिस्ट के किसी भी पिछले संस्करण का उपयोग न करें। एथेरियम वॉलेट प्रभावित नहीं है क्योंकि यह बाहरी पृष्ठों पर नेविगेशन की अनुमति नहीं देता है। यह एक अच्छा रिमाइंडर है कि मिस्ट को वर्तमान में केवल एथेरियम ऐप डेवलपमेंट के लिए माना जाता है और इसका उपयोग अंतिम उपयोगकर्ताओं के लिए खुले वेब पर नेविगेट करने के लिए नहीं किया जाना चाहिए, जब तक कि यह कम से कम संस्करण 1.0 तक नहीं पहुंच जाता। मिस्ट का बाहरी ऑडिट दिसंबर के लिए निर्धारित है।

को बहुत-बहुत धन्यवाद जाता है @tintinweb कमजोरियों का परीक्षण करने के लिए उनके बहुत उपयोगी प्रजनन ऐप के लिए!

हम बाउंटी प्रोग्राम में मिस्ट को जोड़ने के बारे में भी सोच रहे हैं, अगर आपको कमजोरियां या गंभीर कीड़े मिलते हैं तो कृपया हमसे संपर्क करें बाउंटी@ethereum.org




Source link

Leave A Reply

Your email address will not be published.

Shares