外媒1月10日消息,知名钱包开发商Electrum近期针对其比特币钱包的JSONRPC接口漏洞发布了安全补丁。 据悉,该漏洞允许托管Electrum钱包的恶意网站通过Web浏览器窃取用户的加密货币,研究人员猜测这可能与JSONRPC接口中的密码暴露有关。此外,攻击者还可以利用该漏洞获得私人数据,例如比特币地址、交易标签、地址标签、钱包联系人等信息。目前该漏洞影响了几乎所有平台上的 Electrum 2.6 – 3.0.4 版本。
研究人员介绍了该漏洞的具体细节:当 Electrum 后台程序运行时,在web服务器上不同虚拟主机的攻击者可以通过本地的RPC端口轻易地访问electrum钱包。此外,该漏洞还允许攻击者在运行Electrum时修改用户设置。
相关媒体报道称该漏洞早在两年前就已经存在,Electrum之前也发布过针对该漏洞的安全补丁,不过当时并未起到作用。研究人员建议用户应升级其 Electrum 软件,并停止使用旧版本。
京公网安备 11010502049343号