Author

Topic: Kritik Electrum güvenlik açığı. (Read 116 times)

member
Activity: 252
Merit: 10
January 07, 2018, 06:27:53 AM
#1
hepinizin dikkatini çekmistir sayfanınbaşına önemkli bir uyarı konulmus ..  yöneticilerden biri tarafından theymos bende sizinle paylasmak istedim. herkesin bilgilenmesi için ..

Electrum cüzdan yazılımında rastgele web sitelerinin JavaScript ile cüzdanınızı çalmasına olanak tanıyan bir güvenlik açığı bulundu . Bu hata muhtemelen Electron'un elektron parası gibi altton türevlerini de etkiliyor. Electrum'u veya türevini kullanmazsan, etkilenmezsin ve bunu yok sayabilirsiniz.

Eylem adımları:

 1. Electrum'u çalıştırıyorsanız, bu saniyeyi sağdan kapatın .
 2. 3.0.4 sürümüne geçin (PGP imzasını doğruladığınızdan emin olun). Yükseltmek

için mutlaka acele etmeniz gerekmez . Aslında, böyle durumlarda sadece her şeyin halledildiğinden emin olmak için bir süre beklemek akıllıca olabilir. Önemli olan kullanmamaktırEski sürümler. Kullanılmayan bir yerde oturan eski bir sürümünüz varsa, daha sonra tekrar kullanmadan önce yükseltmeyi unutmadığınız sürece zararsızdır.

Geçmişteki herhangi bir noktada siz:

 - Electrum'un cüzdan parolası olmadan açık olsaydı; ve
 - Bir web sayfası açılmıştı

O halde cüzdanınızın tehlikeye atılmış olması mümkündür . Özellikle paranoyak insanlar, eski Electrum cüzdanındaki tüm BTC'yi yeni üretilen bir Electrum cüzdanına göndermek isteyebilirler. (Muhtemelen birisinin cüzdanınız varsa bile, o zaman BTC'nin içindeki tüm BTC'leri çalmış olacaktı ...)

Bu sadece birkaç saat önce giderilmiştir. Electrum geliştiricisi (forumdaki ThomasV, ecdsa on github), muhtemelen yakın gelecekte daha ayrıntılı bilgi ve talimatlar gönderecektir.

Güncelleme 1 : Eğer cüzdan şifrenizi ayarlamadıysanız, hırsızlık önemsizdir. Biraz iyi cüzdan parolası ayarladıysanız, o zaman bir saldırgan "yalnızca" adres / işlem bilgisini cüzdanınızdan alabilir ve Electrum ayarlarınızı değiştirebilir, ki bu ikincisi benim için istismar edilme şansı yüksektir. Daha ileri. Dolayısıyla, cüzdan şifrenizi ayarladıysanız panik seviyenizi birkaç adım azaltabilirsiniz, ancak bunu hala çok ciddiye almalısınız.

mesajın orjinali:


A vulnerability was found in the Electrum wallet software which potentially allows random websites to steal your wallet via JavaScript. The bug presumably also affects altcoin derivatives of Electrum such as Electron Cash. If you don't use Electrum or a derivative, then you are not affected and you can ignore this.

Action steps:

 1. If you are running Electrum, shut it down right this second.
 2. Upgrade to 3.0.4 (making sure to verify the PGP signature).

You don't necessarily need to rush to upgrade. In fact, in cases like this it can be prudent to wait a while just to make sure that everything is settled. The important thing is to not use the old versions. If you have an old version sitting somewhere not being used, then it is harmless as long as you do not forget to upgrade it before using it again later.

If at any point in the past you:

 - Had Electrum open with no wallet passphrase set; and,
 - Had a webpage open

Then it is possible that your wallet is already compromised. Particularly paranoid people might want to send all of the BTC in their old Electrum wallet to a newly-generated Electrum wallet. (Though probably if someone has your wallet, then they already would've stolen all of the BTC in it...)

This was just fixed hours ago. The Electrum developer (ThomasV on the forum, ecdsa on github) will presumably post more detailed info and instructions in the near future.

Update 1: If you had no wallet password set, then theft is trivial. If you had a somewhat-decent wallet password set, then it seems that an attacker could "only" get address/transaction info from your wallet and change your Electrum settings, the latter of which seems to me to have a high chance of being exploitable further. So if you had a wallet password set, you can reduce your panic by a few notches, but you should still treat this very seriously.
Jump to: