Jeden z programistów Bitcoin w poniedziałek ujawnił lukę we wcześniejszych wersjach oprogramowania Bitcoin Core.
Luka związana jest z wykorzystaniem przeglądarek internetowych, ale nie ma informacji o przypadkach jej wykorzystania. Luka była obecna w Bitcoin Core 0.18 i wcześniejszych i została naprawiona w wersji 0.19. Obecna wersja to Bitcoin Core to 0.21.0.
„Środki bezpieczeństwa zastosowane w nowoczesnych przeglądarkach i środowiskach Linux pozwalają mi wierzyć, że tej luki nie można wykorzystać” – powiedział programista Andrew Chow.
„Niemniej jednak, gdyby można to było wykorzystać, mogłoby to doprowadzić do zdalnego wykonania złośliwego kodu na komputerze ofiary”.
Taki atak opierałby się na trzech aspektach technicznych: jednolitym identyfikatorze zasobów (URI), oprogramowaniu graficznym Qt5 i sposobie interakcji komputera z nimi. Według Chow problem wstrzykiwania URI jest dobrze znany programistom, więc łatwo go naprawić. Jednak Qt5 nie był w stanie wykryć złośliwych systemów UNI, co otwiera drogę do ataku. Teoretycznie osoby atakujące mogą wysłać złośliwy kod do ofiary i zainstalować złośliwe rozszerzenie.
Artykuł polecany dla początkujących: Jak sprzedać BTC
Na szczęście większość przeglądarek ma już wbudowany system zapobiegający takim atakom. Innymi słowy, chociaż oprogramowanie Bitcoin Core pozostawało podatne na ataki, atak był trudny ze względu na własne mechanizmy obronne przeglądarki.
„Chociaż uważam, że ta luka jest praktycznie niemożliwa do wykorzystania, dobrze było rozwiązać problem. Poprawka została uwzględniona w bazie kodu Bitcoin Core w sierpniu 2019 r. ”- dodał Chow.
Comments (No)