Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
Компания Parity Technologies заявила, что указанные в докладе специалистов подразделения по кибербезопасности конгломерата Cisco Systems Inc. уязвимости были исправлены в новых версиях программного обеспечения Ethereum-клиента.
Как говорится в заявлении разработчиков, интерфейс JSON-RPC, поддерживающий функцию кросс-доменных запросов, действительно мог предоставлять злоумышленникам публичную информацию о том или ином аккаунте для создания заявки на проведение “нежелательных транзакций” и предоставлении этих транзакций на подпись пользователю.
Однако, подчеркивают в компании, потенциальная утечка информации не могла содержать конфиденциальную информацию, включая приватные ключи. Все связанные с интерфейсом JSON-RPC проблемы были устранены в последних обновлениях программного обеспечения Parity.
Кроме того, разработчики изменили базовые установки функции кросс-доменных запросов во избежание утечки информации. Теперь пользователи должны вручную вносить безопасные домены в “белый список” для того, чтобы разрешить программному обеспечению Parity взаимодействовать с ними.
Ранее ForkLog сообщал, что подразделение Cisco обнаружило ряд уязвимостей в Ethereum-клиентах Parity и Ethereum C++. В первую очередь речь шла об операционном коде create2, внедрение которого запланировано в рамках хардфорка Constantinople, и неправильная работа которого может привести к широкомасштабной DoS-атаке на поддерживающие его ноды.
Более того, ряд “лазеек” в программном обеспечении Ethereum-клиентов позволяли использовать базовые настройки и особенности языка программирования для получения доступа к закрытой информации.
Как говорится в заявлении разработчиков, интерфейс JSON-RPC, поддерживающий функцию кросс-доменных запросов, действительно мог предоставлять злоумышленникам публичную информацию о том или ином аккаунте для создания заявки на проведение “нежелательных транзакций” и предоставлении этих транзакций на подпись пользователю.
Однако, подчеркивают в компании, потенциальная утечка информации не могла содержать конфиденциальную информацию, включая приватные ключи. Все связанные с интерфейсом JSON-RPC проблемы были устранены в последних обновлениях программного обеспечения Parity.
Кроме того, разработчики изменили базовые установки функции кросс-доменных запросов во избежание утечки информации. Теперь пользователи должны вручную вносить безопасные домены в “белый список” для того, чтобы разрешить программному обеспечению Parity взаимодействовать с ними.
Ранее ForkLog сообщал, что подразделение Cisco обнаружило ряд уязвимостей в Ethereum-клиентах Parity и Ethereum C++. В первую очередь речь шла об операционном коде create2, внедрение которого запланировано в рамках хардфорка Constantinople, и неправильная работа которого может привести к широкомасштабной DoS-атаке на поддерживающие его ноды.
Более того, ряд “лазеек” в программном обеспечении Ethereum-клиентов позволяли использовать базовые настройки и особенности языка программирования для получения доступа к закрытой информации.
Оффлайн
- Регистрация
- 27.12.17
- Сообщения
- 1.082
- Реакции
- 175
- Репутация
- 137
Скоро это в моду войдет говорить о своих уязвимостях
Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 1.064
- Реакции
- 189
- Репутация
- 10
Они были должны или опровергнуть или упростить заявления стороних сайтов.Скоро это в моду войдет говорить о своих уязвимостях
Эту проблему они решили таким путем.
Оффлайн
- Регистрация
- 27.12.17
- Сообщения
- 1.082
- Реакции
- 175
- Репутация
- 137
Спасибо что объяснили я не знал что всё так устроено.