Компания Parity Technologies заявила, что указанные в докладе специалистов подразделения по кибербезопасности конгломерата Cisco Systems Inc. уязвимости были исправлены в новых версиях программного обеспечения Ethereum-клиента.
Как говорится в заявлении разработчиков, интерфейс JSON-RPC, поддерживающий функцию кросс-доменных запросов, действительно мог предоставлять злоумышленникам публичную информацию о том или ином аккаунте для создания заявки на проведение “нежелательных транзакций” и предоставлении этих транзакций на подпись пользователю.
Однако, подчеркивают в компании, потенциальная утечка информации не могла содержать конфиденциальную информацию, включая приватные ключи. Все связанные с интерфейсом JSON-RPC проблемы были устранены в последних обновлениях программного обеспечения Parity.
Кроме того, разработчики изменили базовые установки функции кросс-доменных запросов во избежание утечки информации. Теперь пользователи должны вручную вносить безопасные домены в “белый список” для того, чтобы разрешить программному обеспечению Parity взаимодействовать с ними.
Ранее ForkLog сообщал, что подразделение Cisco обнаружило ряд уязвимостей в Ethereum-клиентах Parity и Ethereum C++. В первую очередь речь шла об операционном коде create2, внедрение которого запланировано в рамках хардфорка Constantinople, и неправильная работа которого может привести к широкомасштабной DoS-атаке на поддерживающие его ноды.
Более того, ряд “лазеек” в программном обеспечении Ethereum-клиентов позволяли использовать базовые настройки и особенности языка программирования для получения доступа к закрытой информации.
|
