В блоге компании Ethereum появилось сообщение о баге в браузере Mist Beta, из-за которого вредоносные веб-сайты могут украсть личные ключи. Данной угрозе подвергаются пользователи версий Mist Browser Beta 0.9.3 и более ранние.
В предупреждающем сообщении от команды разработчиков Mist, опубликованном в блоге Ethereum, делается упор на то, как несоответствие обновления системы безопасности в Mist, его базовой платформе Electron и браузере Chromium может поставить под угрозу неприкосновенность данных.
«Мы вынуждены просить пользователей пока не заходить на непроверенные веб-сайты с помощью Mist Browser Beta по причине уязвимости Chromium, которая сказалась на всех выпущенных версиях Mist Browser Beta 0.9.3 более ранних.»
При этом разработчики отмечают, что пользователи приложения Ethereum-кошельков вне опасности.
Примечательно, что после серьезных проблем с системой безопасности Ethereum, особенно на фоне масштабного взлома кошельков Parity и внезапного помещения фондов в карантин, разработчики стараются показать, что держат новую ситуацию под контролем.
Тем не менее, комплексная трехуровневая установка Mist, Electron и Chromium порождает проблемы для системы безопасности. В опубликованном предупреждении команда Mist объясняет многокомпонентность, ставшую причиной уязвимости, так:
» Основной проблемой текущей архитектуры является то, что любая 0-day уязвимость Chromium отстает от Mist на несколько патчей: сначала нужно выпустить патчи для Chromium, затем Electron нужно обновить версию Chromium, и только потом нужно обновить Mist до новой версии Electron.»
Пользователям браузера Mist предлагается выполнить следующие 7 рекомендаций, чтобы обеспечить максимальную безопасность системы.
- Не храните Ether или токены в большом количестве в личных ключах на компьютере с постоянным доступом в Интернет.
- Делайте бэкапы ваших личных ключей.
- Не заходите на непроверенные веб-сайты через Mist.
- Не используйте Mist для выхода в непроверенные сети.
- Обновляйте браузер, которым регулярно пользуетесь.
- Следите за обновлениями вашей операционной системы и антивируса.
- Узнайте, как проверить сигнатуру файла.