मिस्ट कुछ निम्न स्तर के एपीआई को लीक करता है, जिसका उपयोग डैप कंप्यूटर के फाइल सिस्टम तक पहुंच प्राप्त करने और फाइलों को पढ़ने/हटाने के लिए कर सकता है। यह केवल आपको प्रभावित करेगा यदि आप एक अविश्वसनीय डैप पर नेविगेट करते हैं जो इन कमजोरियों के बारे में जानता है और विशेष रूप से उपयोगकर्ताओं पर हमला करने की कोशिश करता है। हमलों के जोखिम को रोकने के लिए मिस्ट को अपग्रेड करने की अत्यधिक अनुशंसा की जाती है।
प्रभावित विन्यास: मिस्ट के सभी संस्करण 0.8.6 और उससे पहले के। यह भेद्यता एथेरियम वॉलेट को प्रभावित नहीं करती है क्योंकि यह बाहरी डीएपी को लोड नहीं कर सकता है।
संभावना: मध्यम
तीव्रता: उच्च
सारांश
कुछ मिस्ट एपीआई विधियों को उजागर किया गया, जिससे दुर्भावनापूर्ण वेबपृष्ठों के लिए एक विशेषाधिकार प्राप्त इंटरफ़ेस तक पहुंच प्राप्त करना संभव हो गया, जो स्थानीय फाइल सिस्टम पर फ़ाइलों को हटा सकता था या पंजीकृत प्रोटोकॉल हैंडलर लॉन्च कर सकता था और संवेदनशील जानकारी प्राप्त कर सकता था, जैसे कि उपयोगकर्ता निर्देशिका या उपयोगकर्ता का “कॉइनबेस”। कमजोर उजागर धुंध एपीआई:
mist.shellmist.dirnamemist.syncMinimongoweb3.eth.coinbaseअब है
nullअगर खाते को डैप के लिए अनुमति नहीं है
समाधान
में अपग्रेड करें धुंध ब्राउज़र का नवीनतम संस्करण. किसी भी अविश्वसनीय वेबपेज, या अज्ञात मूल से स्थानीय वेबपेजों पर नेविगेट करने के लिए मिस्ट के किसी भी पिछले संस्करण का उपयोग न करें। एथेरियम वॉलेट प्रभावित नहीं है क्योंकि यह बाहरी पृष्ठों पर नेविगेशन की अनुमति नहीं देता है। यह एक अच्छा रिमाइंडर है कि मिस्ट को वर्तमान में केवल एथेरियम ऐप डेवलपमेंट के लिए माना जाता है और इसका उपयोग अंतिम उपयोगकर्ताओं के लिए खुले वेब पर नेविगेट करने के लिए नहीं किया जाना चाहिए, जब तक कि यह कम से कम संस्करण 1.0 तक नहीं पहुंच जाता। मिस्ट का बाहरी ऑडिट दिसंबर के लिए निर्धारित है।
को बहुत-बहुत धन्यवाद जाता है @tintinweb कमजोरियों का परीक्षण करने के लिए उनके बहुत उपयोगी प्रजनन ऐप के लिए!
हम बाउंटी प्रोग्राम में मिस्ट को जोड़ने के बारे में भी सोच रहे हैं, अगर आपको कमजोरियां या गंभीर कीड़े मिलते हैं तो कृपया हमसे संपर्क करें बाउंटी@ethereum.org
