Author

Topic: Grave vulnerabilità Electrum (Read 371 times)

hero member
Activity: 1666
Merit: 565
January 10, 2018, 03:14:13 AM
#22
New release: 3.0.5. (security update). https://electrum.org/#download  Please upgrade; release 3.0.4 did not completely address the vulnerability.

Sono veramente scarsi.. mamma mia
Speriamo che non introducano altri errori x sistemare questo
In teoria, jsonrpc, se nn ricordo male,può essere spento

dici che è proprio un errore da principianti? Io con electrum mi sono sempre trovato bene (anche se non lo apro da un bel po' ormai), ma ora sono un po' spaventato.
Tu cosa usi?
member
Activity: 135
Merit: 10
January 09, 2018, 01:11:19 PM
#21
La nuova versione è standardizzata ?, perché intendo utilizzare questo portfolio
newbie
Activity: 33
Merit: 0
January 09, 2018, 09:53:10 AM
#20
Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico Smiley

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie Wink


Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok.

ciao Oplus grazie Wink
fatto e ok fin ora, versione 3.0.05 istallata  (sul PC window 7)
Passi : https://electrum.org/#download
io ho fatto window istaller che aggiorna direttamente l icona senza creare un doppione, controllando la versione e aggiornamento risulta tutto su oggi e versione appunto 3.0.05
faccio notare che sono andato sul sito e scaricato ovviamente con connessione internet e dopo che era aggiornato ho prima svolto antivirus e pulizie di controllo, poi aperto senza connessione ( serve o no l ho fatto cmq ) da qui aperto e tutto ok
pasword senza dover riscrivere le famose 12 parole e come sempre connesso al mio wallet con tutto dentro
grazie per le dritte Oplus Wink
buona giornata a tutti


Figurati Wink  Devo dire che sei stato molto più prudente di me; la prossima volta farò come hai fatto tu Smiley
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
January 09, 2018, 09:32:39 AM
#19
In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?

se il browser è chiuso escludi attacchi da siti web malevoli, ma se hai del malware direttamente installato sul PC, potrebbe sfruttare la vulnerabilità ogni volta che apri il wallet, finché non hai la versione aggiornata con la fix.


esatto, non scherzateci perche possono potenzialmente fregarvi tutti i soldi che avete
il mio consiglio come sempre é di prendere un hw wallet come trezor o ledger

ripeto, investite questi 100 euro per garantirvi sicurezza
jr. member
Activity: 209
Merit: 7
January 09, 2018, 08:52:19 AM
#18
OK,adesso è tutto chiaro
Grazie infinite
legendary
Activity: 3836
Merit: 2050
January 09, 2018, 07:22:40 AM
#17
In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?

se il browser è chiuso escludi attacchi da siti web malevoli, ma se hai del malware direttamente installato sul PC, potrebbe sfruttare la vulnerabilità ogni volta che apri il wallet, finché non hai la versione aggiornata con la fix.
sr. member
Activity: 574
Merit: 417
January 09, 2018, 03:42:25 AM
#16
Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico Smiley

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie Wink


Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok.

ciao Oplus grazie Wink
fatto e ok fin ora, versione 3.0.05 istallata  (sul PC window 7)
Passi : https://electrum.org/#download
io ho fatto window istaller che aggiorna direttamente l icona senza creare un doppione, controllando la versione e aggiornamento risulta tutto su oggi e versione appunto 3.0.05
faccio notare che sono andato sul sito e scaricato ovviamente con connessione internet e dopo che era aggiornato ho prima svolto antivirus e pulizie di controllo, poi aperto senza connessione ( serve o no l ho fatto cmq ) da qui aperto e tutto ok
pasword senza dover riscrivere le famose 12 parole e come sempre connesso al mio wallet con tutto dentro
grazie per le dritte Oplus Wink
buona giornata a tutti
jr. member
Activity: 209
Merit: 7
January 08, 2018, 07:21:14 PM
#15
cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC


Ok,grazie
Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida? Embarrassed
Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

ovviamente il sito non ti avvisa prima se contiene uno script malevolo Smiley
Potrebbe essere inserito volutamente da chi gestisce il sito, oppure a sua insaputa, sfruttando ad esempio vulnerabilità XSS. Un altro canale sfruttato a volte sono gli spazi pubblicitari presenti in molti siti, che i criminali affittano proprio con lo scopo di inserirci del malware, ovviamente tutto senza che il proprietario del sito se ne accorga.
Quindi il pericolo potenzialmente può nascondersi in qualunque sito, una protezione valida è data da estensioni che bloccano gli script, come ad es. https://noscript.net/, disponibile per Firefox (ma ce ne sono di analoghe anche per Chrome)

Sei stato chiarissimo,grazie Smiley
Mi è rimasto il dubbio solo su questo punto:
Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?
In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?
sr. member
Activity: 306
Merit: 277
January 08, 2018, 07:00:16 PM
#14
qualcuno ha aggiornato electrum con l'uso su hd wallet, nel mio caso ledger?
non vorrei fare casino
newbie
Activity: 33
Merit: 0
January 08, 2018, 01:37:02 PM
#13
Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico Smiley

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie Wink


Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok.
sr. member
Activity: 574
Merit: 417
January 08, 2018, 01:03:44 PM
#12
Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico Smiley

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie Wink
newbie
Activity: 33
Merit: 0
January 08, 2018, 12:51:57 PM
#11
Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico Smiley

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.
legendary
Activity: 3836
Merit: 2050
January 08, 2018, 09:33:53 AM
#10
cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC


Ok,grazie
Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida? Embarrassed
Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

ovviamente il sito non ti avvisa prima se contiene uno script malevolo Smiley
Potrebbe essere inserito volutamente da chi gestisce il sito, oppure a sua insaputa, sfruttando ad esempio vulnerabilità XSS. Un altro canale sfruttato a volte sono gli spazi pubblicitari presenti in molti siti, che i criminali affittano proprio con lo scopo di inserirci del malware, ovviamente tutto senza che il proprietario del sito se ne accorga.
Quindi il pericolo potenzialmente può nascondersi in qualunque sito, una protezione valida è data da estensioni che bloccano gli script, come ad es. https://noscript.net/, disponibile per Firefox (ma ce ne sono di analoghe anche per Chrome)
jr. member
Activity: 209
Merit: 7
January 08, 2018, 09:12:57 AM
#9
cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC


Ok,grazie
Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida? Embarrassed
Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
January 08, 2018, 02:40:43 AM
#8
New release: 3.0.5. (security update). https://electrum.org/#download  Please upgrade; release 3.0.4 did not completely address the vulnerability.

Sono veramente scarsi.. mamma mia
Speriamo che non introducano altri errori x sistemare questo
In teoria, jsonrpc, se nn ricordo male,può essere spento
sr. member
Activity: 435
Merit: 260
January 07, 2018, 08:03:02 PM
#7
New release: 3.0.5. (security update). https://electrum.org/#download  Please upgrade; release 3.0.4 did not completely address the vulnerability.
newbie
Activity: 33
Merit: 0
January 07, 2018, 07:43:55 PM
#6
Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico Smiley
hero member
Activity: 1050
Merit: 513
January 07, 2018, 07:18:08 PM
#5
fatto subito l’upgrade, l’ho proprio usato fino a pochi minuti fa mannaggia, spero non mi succeda nulla  Undecided
vabbe che avevo poco pero cavolo che vulnerabilita bella tosta
legendary
Activity: 3836
Merit: 2050
January 07, 2018, 06:35:21 PM
#4
cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC
jr. member
Activity: 209
Merit: 7
January 07, 2018, 04:55:30 PM
#3
cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
January 07, 2018, 11:43:03 AM
#2
cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc
sr. member
Activity: 435
Merit: 260
January 07, 2018, 10:24:13 AM
#1
Critical vulnerablity in Electrum; SHUT DOWN ELECTRUM IMMEDIATELY and upgrade. Other clients are fine

- Non usare la versione vecchia

- Non c'è urgenza nell'usare quella nuova

https://bitcointalksearch.org/topic/critical-electrum-vulnerability-2702103

i cold wallet immagino siano al sicuro (ma per aggiornare qual è la procedura consigliata? sia cold wallet che hot wallet in lettura devono avere la stessa versione del programma?)
Jump to: