Один из разработчиков биткоина в понедельник раскрыл информацию об уязвимости, присутствовавшей в ранних версиях программного обеспечения Bitcoin Core. По его словам, уязвимость связана с использованием веб-браузеров, однако о случаях ее эксплуатации информации нет. Уязвимость присутствовала в ПО Bitcoin Core 0.18 и более ранних версиях и была устранена в релизе 0.19. Актуальной версией Bitcoin Core является 0.21.0.
«Реализованные в современных браузерах и среде Linux защитные меры заставляют меня верить в то, что данная уязвимость не может быть проэксплуатирована, – заявил разработчик Эндрю Чоу. – Тем не менее, если бы ее удалось задействовать, это могло бы привести к удаленному исполнению вредоносного кода на компьютере жертвы».
Такая атака полагалась бы на три технических аспекта: унифицированный идентификатор ресурса (URI), графическое ПО Qt5 и методы взаимодействия компьютера с ними. По словам Чоу, проблема внедрения URI хорошо знакома разработчикам, поэтому ликвидировать ее не составляет труда. Тем не менее, Qt5 оказался неспособен выявлять зловредные UNI, что и открывает вектор для осуществления атаки. В теории злоумышленники могут отправить вредоносный код жертве и установить вредоносное расширение.
К счастью, большинство браузеров уже имеет встроенную систему для предотвращения таких атак. Другими словами, в то время, пока ПО Bitcoin Core оставалось уязвимым, атаку было сложно провести благодаря собственной защите браузеров.
«Хотя я считаю, что данную уязвимость фактически невозможно проэксплуатировать, разумно было устранить проблему. Фикс был включен в кодовую базу Bitcoin Core в августе 2019 года», – добавил Чоу.
