Grave vulnerabilità Electrum | Bitcointalksearch.org

asdlolciterquit

hero member

Activity: 1666

Merit: 565

Quote from: babo on January 08, 2018, 02:40:43 AM

Quote from: goemon888 on January 07, 2018, 08:03:02 PM

New release: 3.0.5. (security update). https://electrum.org/#download Please upgrade; release 3.0.4 did not completely address the vulnerability.

Sono veramente scarsi.. mamma mia
Speriamo che non introducano altri errori x sistemare questo
In teoria, jsonrpc, se nn ricordo male,può essere spento

dici che è proprio un errore da principianti? Io con electrum mi sono sempre trovato bene (anche se non lo apro da un bel po' ormai), ma ora sono un po' spaventato.
Tu cosa usi?

Maluscoviski

member

Activity: 135

Merit: 10

La nuova versione è standardizzata ?, perché intendo utilizzare questo portfolio

0plus0max

newbie

Activity: 33

Merit: 0

Quote from: mattonebit on January 09, 2018, 03:42:25 AM

Quote from: 0plus0max on January 08, 2018, 01:37:02 PM

Quote from: mattonebit on January 08, 2018, 01:03:44 PM

Quote from: 0plus0max on January 08, 2018, 12:51:57 PM

Quote from: 0plus0max on January 07, 2018, 07:43:55 PM

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie Wink

Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok.

ciao Oplus grazie Wink

fatto e ok fin ora, versione 3.0.05 istallata (sul PC window 7)
Passi : https://electrum.org/#download
io ho fatto window istaller che aggiorna direttamente l icona senza creare un doppione, controllando la versione e aggiornamento risulta tutto su oggi e versione appunto 3.0.05
faccio notare che sono andato sul sito e scaricato ovviamente con connessione internet e dopo che era aggiornato ho prima svolto antivirus e pulizie di controllo, poi aperto senza connessione ( serve o no l ho fatto cmq ) da qui aperto e tutto ok
pasword senza dover riscrivere le famose 12 parole e come sempre connesso al mio wallet con tutto dentro
grazie per le dritte Oplus Wink

buona giornata a tutti

Figurati

Devo dire che sei stato molto più prudente di me; la prossima volta farò come hai fatto tu

babo

legendary

Activity: 3696

Merit: 4343

The hacker spirit breaks any spell

Quote from: jack0m on January 09, 2018, 07:22:40 AM

Quote from: facile on January 08, 2018, 07:21:14 PM

In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?

se il browser è chiuso escludi attacchi da siti web malevoli, ma se hai del malware direttamente installato sul PC, potrebbe sfruttare la vulnerabilità ogni volta che apri il wallet, finché non hai la versione aggiornata con la fix.

esatto, non scherzateci perche possono potenzialmente fregarvi tutti i soldi che avete
il mio consiglio come sempre é di prendere un hw wallet come trezor o ledger

ripeto, investite questi 100 euro per garantirvi sicurezza

facile

jr. member

Activity: 209

Merit: 7

OK,adesso è tutto chiaro
Grazie infinite

jack0m

legendary

Activity: 3808

Merit: 2044

Quote from: facile on January 08, 2018, 07:21:14 PM

In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?

se il browser è chiuso escludi attacchi da siti web malevoli, ma se hai del malware direttamente installato sul PC, potrebbe sfruttare la vulnerabilità ogni volta che apri il wallet, finché non hai la versione aggiornata con la fix.

mattonebit

sr. member

Activity: 574

Merit: 417

Quote from: 0plus0max on January 08, 2018, 01:37:02 PM

Quote from: mattonebit on January 08, 2018, 01:03:44 PM

Quote from: 0plus0max on January 08, 2018, 12:51:57 PM

Quote from: 0plus0max on January 07, 2018, 07:43:55 PM

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie Wink

Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok.

ciao Oplus grazie Wink

fatto e ok fin ora, versione 3.0.05 istallata (sul PC window 7)
Passi : https://electrum.org/#download
io ho fatto window istaller che aggiorna direttamente l icona senza creare un doppione, controllando la versione e aggiornamento risulta tutto su oggi e versione appunto 3.0.05
faccio notare che sono andato sul sito e scaricato ovviamente con connessione internet e dopo che era aggiornato ho prima svolto antivirus e pulizie di controllo, poi aperto senza connessione ( serve o no l ho fatto cmq ) da qui aperto e tutto ok
pasword senza dover riscrivere le famose 12 parole e come sempre connesso al mio wallet con tutto dentro
grazie per le dritte Oplus Wink

buona giornata a tutti

facile

jr. member

Activity: 209

Merit: 7

Quote from: jack0m on January 08, 2018, 09:33:53 AM

Quote from: facile on January 08, 2018, 09:12:57 AM

Quote from: jack0m on January 07, 2018, 06:35:21 PM

Quote from: facile on January 07, 2018, 04:55:30 PM

Quote from: babo on January 07, 2018, 11:43:03 AM

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC

Ok,grazie
Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida? Embarrassed

Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

ovviamente il sito non ti avvisa prima se contiene uno script malevolo

Potrebbe essere inserito volutamente da chi gestisce il sito, oppure a sua insaputa, sfruttando ad esempio vulnerabilità XSS. Un altro canale sfruttato a volte sono gli spazi pubblicitari presenti in molti siti, che i criminali affittano proprio con lo scopo di inserirci del malware, ovviamente tutto senza che il proprietario del sito se ne accorga.
Quindi il pericolo potenzialmente può nascondersi in qualunque sito, una protezione valida è data da estensioni che bloccano gli script, come ad es. https://noscript.net/, disponibile per Firefox (ma ce ne sono di analoghe anche per Chrome)

Sei stato chiarissimo,grazie

Mi è rimasto il dubbio solo su questo punto:

Quote from: facile on January 08, 2018, 09:12:57 AM

Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?

balladofjpeg

sr. member

Activity: 306

Merit: 277

qualcuno ha aggiornato electrum con l'uso su hd wallet, nel mio caso ledger?
non vorrei fare casino

0plus0max

newbie

Activity: 33

Merit: 0

Quote from: mattonebit on January 08, 2018, 01:03:44 PM

Quote from: 0plus0max on January 08, 2018, 12:51:57 PM

Quote from: 0plus0max on January 07, 2018, 07:43:55 PM

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie Wink

Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok.

mattonebit

sr. member

Activity: 574

Merit: 417

Quote from: 0plus0max on January 08, 2018, 12:51:57 PM

Quote from: 0plus0max on January 07, 2018, 07:43:55 PM

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie Wink

0plus0max

newbie

Activity: 33

Merit: 0

Quote from: 0plus0max on January 07, 2018, 07:43:55 PM

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

jack0m

legendary

Activity: 3808

Merit: 2044

Quote from: facile on January 08, 2018, 09:12:57 AM

Quote from: jack0m on January 07, 2018, 06:35:21 PM

Quote from: facile on January 07, 2018, 04:55:30 PM

Quote from: babo on January 07, 2018, 11:43:03 AM

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC

Ok,grazie
Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida? Embarrassed

Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

ovviamente il sito non ti avvisa prima se contiene uno script malevolo

Potrebbe essere inserito volutamente da chi gestisce il sito, oppure a sua insaputa, sfruttando ad esempio vulnerabilità XSS. Un altro canale sfruttato a volte sono gli spazi pubblicitari presenti in molti siti, che i criminali affittano proprio con lo scopo di inserirci del malware, ovviamente tutto senza che il proprietario del sito se ne accorga.
Quindi il pericolo potenzialmente può nascondersi in qualunque sito, una protezione valida è data da estensioni che bloccano gli script, come ad es. https://noscript.net/, disponibile per Firefox (ma ce ne sono di analoghe anche per Chrome)

facile

jr. member

Activity: 209

Merit: 7

Quote from: jack0m on January 07, 2018, 06:35:21 PM

Quote from: facile on January 07, 2018, 04:55:30 PM

Quote from: babo on January 07, 2018, 11:43:03 AM

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC

Ok,grazie
Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida? Embarrassed

Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

babo

legendary

Activity: 3696

Merit: 4343

The hacker spirit breaks any spell

Quote from: goemon888 on January 07, 2018, 08:03:02 PM

New release: 3.0.5. (security update). https://electrum.org/#download Please upgrade; release 3.0.4 did not completely address the vulnerability.

Sono veramente scarsi.. mamma mia
Speriamo che non introducano altri errori x sistemare questo
In teoria, jsonrpc, se nn ricordo male,può essere spento

goemon888

sr. member

Activity: 435

Merit: 260

New release: 3.0.5. (security update). https://electrum.org/#download Please upgrade; release 3.0.4 did not completely address the vulnerability.

0plus0max

newbie

Activity: 33

Merit: 0

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

w0lf0.

hero member

Activity: 1050

Merit: 513

fatto subito l’upgrade, l’ho proprio usato fino a pochi minuti fa mannaggia, spero non mi succeda nulla Undecided

vabbe che avevo poco pero cavolo che vulnerabilita bella tosta

jack0m

legendary

Activity: 3808

Merit: 2044

Quote from: facile on January 07, 2018, 04:55:30 PM

Quote from: babo on January 07, 2018, 11:43:03 AM

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC

facile

jr. member

Activity: 209

Merit: 7

Quote from: babo on January 07, 2018, 11:43:03 AM

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

Topic: Grave vulnerabilità Electrum (Read 363 times)