Nhóm nghiên cứu tại MetaMask cho biết: “Cuối cùng, chúng tôi đã biết rằng tính năng bảo mật của tính năng mã hóa mật khẩu của chúng tôi đã bị phá hoại một phần bởi hành vi của trình duyệt.
Vào thứ Tư, MetaMask nói rằng họ đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong các phiên bản cũ hơn của ví tiền điện tử với sự trợ giúp của các nhà nghiên cứu bảo mật tại Halborn. Công ty bảo mật đã được thưởng 50.000 đô la cho phát hiện này.
Đối với người dùng tiện ích mở rộng MetaMask trước phiên bản 10.11.3, ba điều kiện cần thiết sẽ dẫn đến lỗ hổng tiềm ẩn. Đó là: (1) ổ cứng không được mã hóa, (2) đã nhập cụm từ khôi phục bí mật vào tiện ích mở rộng MetaMask trên một thiết bị bị xâm nhập, bị đánh cắp hoặc có quyền truy cập trái phép và (3) đã sử dụng cụm từ "Hiển thị cụm từ khôi phục bí mật "để xem cụm từ khôi phục bí mật trên màn hình trong quá trình nhập.
"Chúng tôi chỉ phát hiện ra rằng Cụm từ khôi phục bí mật có thể được trích xuất trong những trường hợp rất cụ thể và chúng tôi có thể đưa ra các biện pháp bảo vệ mới trong khoảng thời gian mà Halborn đã chờ đợi để tiết lộ."
Rõ ràng, việc khai thác ảnh hưởng đến tất cả các phiên bản trình duyệt của các phiên bản ví MetaMask trước bản cập nhật 10.11.3 và tất cả các hệ điều hành nếu đáp ứng cả ba trường hợp, nhưng không ảnh hưởng đến các phiên bản di động.
MetaMask đang cảnh báo những người dùng bị ảnh hưởng di chuyển tiền của họ từ ví bị xâm nhập của họ. Tuy nhiên, hãy nhớ rằng cả ba điều kiện cần phải được đáp ứng để lỗ hổng bảo mật có thể hoạt động trên các phiên bản MetaMask cũ hơn.
Vào thứ Tư, MetaMask nói rằng họ đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong các phiên bản cũ hơn của ví tiền điện tử với sự trợ giúp của các nhà nghiên cứu bảo mật tại Halborn. Công ty bảo mật đã được thưởng 50.000 đô la cho phát hiện này.
Đối với người dùng tiện ích mở rộng MetaMask trước phiên bản 10.11.3, ba điều kiện cần thiết sẽ dẫn đến lỗ hổng tiềm ẩn. Đó là: (1) ổ cứng không được mã hóa, (2) đã nhập cụm từ khôi phục bí mật vào tiện ích mở rộng MetaMask trên một thiết bị bị xâm nhập, bị đánh cắp hoặc có quyền truy cập trái phép và (3) đã sử dụng cụm từ "Hiển thị cụm từ khôi phục bí mật "để xem cụm từ khôi phục bí mật trên màn hình trong quá trình nhập.
"Chúng tôi chỉ phát hiện ra rằng Cụm từ khôi phục bí mật có thể được trích xuất trong những trường hợp rất cụ thể và chúng tôi có thể đưa ra các biện pháp bảo vệ mới trong khoảng thời gian mà Halborn đã chờ đợi để tiết lộ."
Rõ ràng, việc khai thác ảnh hưởng đến tất cả các phiên bản trình duyệt của các phiên bản ví MetaMask trước bản cập nhật 10.11.3 và tất cả các hệ điều hành nếu đáp ứng cả ba trường hợp, nhưng không ảnh hưởng đến các phiên bản di động.
MetaMask đang cảnh báo những người dùng bị ảnh hưởng di chuyển tiền của họ từ ví bị xâm nhập của họ. Tuy nhiên, hãy nhớ rằng cả ba điều kiện cần phải được đáp ứng để lỗ hổng bảo mật có thể hoạt động trên các phiên bản MetaMask cũ hơn.
Post a Comment