В Parity ответили на доклад специалистов Cisco о “множестве уязвимостей”
Компания Parity Technologies заявила, что указанные в докладе специалистов подразделения по кибербезопасности конгломерата Cisco Systems Inc. уязвимости были исправлены в новых версиях программного обеспечения Ethereum-клиента.
Please read our full statement. pic.twitter.com/1NBgIqPi9q
— Parity Technologies (@ParityTech) January 11, 2018
Как говорится в заявлении разработчиков, интерфейс JSON-RPC, поддерживающий функцию кросс-доменных запросов, действительно мог предоставлять злоумышленникам публичную информацию о том или ином аккаунте для создания заявки на проведение “нежелательных транзакций” и предоставлении этих транзакций на подпись пользователю.
Однако, подчеркивают в компании, потенциальная утечка информации не могла содержать конфиденциальную информацию, включая приватные ключи. Все связанные с интерфейсом JSON-RPC проблемы были устранены в последних обновлениях программного обеспечения Parity.
Кроме того, разработчики изменили базовые установки функции кросс-доменных запросов во избежание утечки информации. Теперь пользователи должны вручную вносить безопасные домены в “белый список” для того, чтобы разрешить программному обеспечению Parity взаимодействовать с ними.
Ранее ForkLog сообщал, что подразделение Cisco обнаружило ряд уязвимостей в Ethereum-клиентах Parity и Ethereum C++. В первую очередь речь шла об операционном коде create2, внедрение которого запланировано в рамках хардфорка Constantinople, и неправильная работа которого может привести к широкомасштабной DoS-атаке на поддерживающие его ноды.
Более того, ряд “лазеек” в программном обеспечении Ethereum-клиентов позволяли использовать базовые настройки и особенности языка программирования для получения доступа к закрытой информации.