外媒 1 月 10 日消息,知名钱包开发商 Electrum 近期针对其比特币钱包的 *** ONRPC 接口漏洞发布了安全补丁。 据悉,该漏洞允许托管 Electrum 钱包的恶意网站通过 Web 浏览器窃取用户的加密货币,研究人员猜测这可能与 *** ONRPC 接口中的密码暴露有关。此外,攻击者还可以利用该漏洞获得私人数据,例如比特币地址、交易标签、地址标签、钱包联系人等信息。目前该漏洞影响了几乎所有平台上的 Electrum 2.6 – 3.0.4 版本。
研究人员介绍了该漏洞的具体细节:当 Electrum 后台程序运行时,在 web 服务器上不同虚拟主机的攻击者可以通过本地的 RPC 端口轻易地访问 electrum 钱包。此外,该漏洞还允许攻击者在运行 Electrum 时修改用户设置。
相关媒体报道称该漏洞早在两年前就已经存在,Electrum 之前也发布过针对该漏洞的安全补丁,不过当时并未起到作用。研究人员建议用户应升级其 Electrum 软件,并停止使用旧版本。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分...
虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。 在攻击获得系统权限之后,该勒索软件就会通过 PowerSh...
上星期,我们以“创宇资讯”角度发布了2021年最受关注的十大网络安全事件。 以下为创宇资讯整理并总结出的2021年十大安全漏洞,希望以此为网络安全建设提供参考。 (转载本文请注明出处:https://hackernews.cc/archives/37322) 一.Apache Log4j2 远程代...
TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序,将其BazarLoader恶意软件部署到目标系统上,这是一场针对性很强的垃圾邮件攻击。 BazarLoader(又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor)...
据外媒CNET报道,美众议院国土安全委员会和监督与改革委员会于当地时间周一宣布,他们将于本周就SolarWinds遭黑客攻击一事举行听证会。在2月26日的听证会上,SolarWinds CEO Sudhakar Ramakrishna、前SolarWinds CEO Kevin Thompson、微...
外媒The Verge援引《华尔街日报》报道称,发现自己受到SolarWinds黑客攻击影响的美国公司和机构名单还在不断增加,他们正在努力应对黑客入侵的一个巨大未知数:攻击程度有多严重。联邦司法系统现在很可能是其中之一,它不会冒任何风险。该机构对此十分担心,尽管目前疫情严重,但法院工作人员现在必须亲...