Разработчик раскрыл информацию об исправленной уязвимости в ПО Bitcoin Core

«Реализованные в современных браузерах и среде Linux защитные меры заставляют меня верить в то, что данная уязвимость не может быть проэксплуатирована, – заявил разработчик Эндрю Чоу. – Тем не менее, если бы ее удалось задействовать, это могло бы привести к удаленному исполнению вредоносного кода на компьютере жертвы». Такая атака полагалась бы на три технических аспекта: унифицированный идентификатор ресурса (URI), графическое ПО Qt5 и методы взаимодействия компьютера с ними. По словам Чоу, проблема внедрения URI хорошо знакома разработчикам, поэтому ликвидировать ее не составляет труда. Тем не менее, Qt5 оказался неспособен выявлять зловредные UNI, что и открывает вектор для осуществления атаки. В теории злоумышленники могут отправить вредоносный код жертве и установить вредоносное расширение. К счастью, большинство браузеров уже имеет встроенную систему для предотвращения таких атак. Другими словами, в то время, пока ПО Bitcoin Core оставалось уязвимым, атаку было сложно провести благодаря собственной защите браузеров. «Хотя я считаю, что данную уязвимость фактически невозможно проэксплуатировать, разумно было устранить проблему. Фикс был включен в кодовую базу Bitcoin Core в августе 2019 года», – добавил Чоу.

Интересное по теме