|
Title: Grave vulnerabilità Electrum Post by: goemon888 on January 07, 2018, 03:24:13 PM Critical vulnerablity in Electrum; SHUT DOWN ELECTRUM IMMEDIATELY and upgrade. Other clients are fine
- Non usare la versione vecchia - Non c'è urgenza nell'usare quella nuova https://bitcointalk.org/index.php?topic=2702103.0 i cold wallet immagino siano al sicuro (ma per aggiornare qual è la procedura consigliata? sia cold wallet che hot wallet in lettura devono avere la stessa versione del programma?) Title: Re: Grave vulnerabilità Electrum Post by: babo on January 07, 2018, 04:43:03 PM cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc Title: Re: Grave vulnerabilità Electrum Post by: facile on January 07, 2018, 09:55:30 PM cold wallet non é collegato direttamente a internet quindi in teoria é piu complesso da exploitare il bug di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire? Title: Re: Grave vulnerabilità Electrum Post by: jack0m on January 07, 2018, 11:35:21 PM cold wallet non é collegato direttamente a internet quindi in teoria é piu complesso da exploitare il bug di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire? che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC Title: Re: Grave vulnerabilità Electrum Post by: w0lf0. on January 08, 2018, 12:18:08 AM fatto subito l’upgrade, l’ho proprio usato fino a pochi minuti fa mannaggia, spero non mi succeda nulla :-\
vabbe che avevo poco pero cavolo che vulnerabilita bella tosta Title: Re: Grave vulnerabilità Electrum Post by: 0plus0max on January 08, 2018, 12:43:55 AM Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti. Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione. Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico :) Title: Re: Grave vulnerabilità Electrum Post by: goemon888 on January 08, 2018, 01:03:02 AM New release: 3.0.5. (security update). https://electrum.org/#download Please upgrade; release 3.0.4 did not completely address the vulnerability.
Title: Re: Grave vulnerabilità Electrum Post by: babo on January 08, 2018, 07:40:43 AM New release: 3.0.5. (security update). https://electrum.org/#download Please upgrade; release 3.0.4 did not completely address the vulnerability. Sono veramente scarsi.. mamma mia Speriamo che non introducano altri errori x sistemare questo In teoria, jsonrpc, se nn ricordo male,può essere spento Title: Re: Grave vulnerabilità Electrum Post by: facile on January 08, 2018, 02:12:57 PM cold wallet non é collegato direttamente a internet quindi in teoria é piu complesso da exploitare il bug di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire? che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC Ok,grazie Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida? :-[ Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi? Title: Re: Grave vulnerabilità Electrum Post by: jack0m on January 08, 2018, 02:33:53 PM cold wallet non é collegato direttamente a internet quindi in teoria é piu complesso da exploitare il bug di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire? che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC Ok,grazie Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida? :-[ Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi? ovviamente il sito non ti avvisa prima se contiene uno script malevolo :) Potrebbe essere inserito volutamente da chi gestisce il sito, oppure a sua insaputa, sfruttando ad esempio vulnerabilità XSS. Un altro canale sfruttato a volte sono gli spazi pubblicitari presenti in molti siti, che i criminali affittano proprio con lo scopo di inserirci del malware, ovviamente tutto senza che il proprietario del sito se ne accorga. Quindi il pericolo potenzialmente può nascondersi in qualunque sito, una protezione valida è data da estensioni che bloccano gli script, come ad es. https://noscript.net/ (https://noscript.net/), disponibile per Firefox (ma ce ne sono di analoghe anche per Chrome) Title: Re: Grave vulnerabilità Electrum Post by: 0plus0max on January 08, 2018, 05:51:57 PM Per favore potreste spiegare ad un niubbo come si aggiorna Electrum? Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti. Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione. Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico :) Ho fatto da solo, grazie comunque. Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo. Title: Re: Grave vulnerabilità Electrum Post by: mattonebit on January 08, 2018, 06:03:44 PM Per favore potreste spiegare ad un niubbo come si aggiorna Electrum? Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti. Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione. Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico :) Ho fatto da solo, grazie comunque. Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo. ciao ottimo posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ? https://electrum.org/#download avevi Windows ? se puoi darmi due dritte grazie ;) Title: Re: Grave vulnerabilità Electrum Post by: 0plus0max on January 08, 2018, 06:37:02 PM Per favore potreste spiegare ad un niubbo come si aggiorna Electrum? Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti. Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione. Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico :) Ho fatto da solo, grazie comunque. Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo. ciao ottimo posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ? https://electrum.org/#download avevi Windows ? se puoi darmi due dritte grazie ;) Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok. Title: Re: Grave vulnerabilità Electrum Post by: balladofjpeg on January 09, 2018, 12:00:16 AM qualcuno ha aggiornato electrum con l'uso su hd wallet, nel mio caso ledger?
non vorrei fare casino Title: Re: Grave vulnerabilità Electrum Post by: facile on January 09, 2018, 12:21:14 AM cold wallet non é collegato direttamente a internet quindi in teoria é piu complesso da exploitare il bug di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire? che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC Ok,grazie Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida? :-[ Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi? ovviamente il sito non ti avvisa prima se contiene uno script malevolo :) Potrebbe essere inserito volutamente da chi gestisce il sito, oppure a sua insaputa, sfruttando ad esempio vulnerabilità XSS. Un altro canale sfruttato a volte sono gli spazi pubblicitari presenti in molti siti, che i criminali affittano proprio con lo scopo di inserirci del malware, ovviamente tutto senza che il proprietario del sito se ne accorga. Quindi il pericolo potenzialmente può nascondersi in qualunque sito, una protezione valida è data da estensioni che bloccano gli script, come ad es. https://noscript.net/ (https://noscript.net/), disponibile per Firefox (ma ce ne sono di analoghe anche per Chrome) Sei stato chiarissimo,grazie :) Mi è rimasto il dubbio solo su questo punto: Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi? In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?Title: Re: Grave vulnerabilità Electrum Post by: mattonebit on January 09, 2018, 08:42:25 AM Per favore potreste spiegare ad un niubbo come si aggiorna Electrum? Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti. Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione. Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico :) Ho fatto da solo, grazie comunque. Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo. ciao ottimo posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ? https://electrum.org/#download avevi Windows ? se puoi darmi due dritte grazie ;) Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok. ciao Oplus grazie ;) fatto e ok fin ora, versione 3.0.05 istallata (sul PC window 7) Passi : https://electrum.org/#download io ho fatto window istaller che aggiorna direttamente l icona senza creare un doppione, controllando la versione e aggiornamento risulta tutto su oggi e versione appunto 3.0.05 faccio notare che sono andato sul sito e scaricato ovviamente con connessione internet e dopo che era aggiornato ho prima svolto antivirus e pulizie di controllo, poi aperto senza connessione ( serve o no l ho fatto cmq ) da qui aperto e tutto ok pasword senza dover riscrivere le famose 12 parole e come sempre connesso al mio wallet con tutto dentro grazie per le dritte Oplus ;) buona giornata a tutti Title: Re: Grave vulnerabilità Electrum Post by: jack0m on January 09, 2018, 12:22:40 PM In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso? se il browser è chiuso escludi attacchi da siti web malevoli, ma se hai del malware direttamente installato sul PC, potrebbe sfruttare la vulnerabilità ogni volta che apri il wallet, finché non hai la versione aggiornata con la fix. Title: Re: Grave vulnerabilità Electrum Post by: facile on January 09, 2018, 01:52:19 PM OK,adesso è tutto chiaro
Grazie infinite Title: Re: Grave vulnerabilità Electrum Post by: babo on January 09, 2018, 02:32:39 PM In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso? se il browser è chiuso escludi attacchi da siti web malevoli, ma se hai del malware direttamente installato sul PC, potrebbe sfruttare la vulnerabilità ogni volta che apri il wallet, finché non hai la versione aggiornata con la fix. esatto, non scherzateci perche possono potenzialmente fregarvi tutti i soldi che avete il mio consiglio come sempre é di prendere un hw wallet come trezor o ledger ripeto, investite questi 100 euro per garantirvi sicurezza Title: Re: Grave vulnerabilità Electrum Post by: 0plus0max on January 09, 2018, 02:53:10 PM Per favore potreste spiegare ad un niubbo come si aggiorna Electrum? Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti. Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione. Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico :) Ho fatto da solo, grazie comunque. Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo. ciao ottimo posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ? https://electrum.org/#download avevi Windows ? se puoi darmi due dritte grazie ;) Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok. ciao Oplus grazie ;) fatto e ok fin ora, versione 3.0.05 istallata (sul PC window 7) Passi : https://electrum.org/#download io ho fatto window istaller che aggiorna direttamente l icona senza creare un doppione, controllando la versione e aggiornamento risulta tutto su oggi e versione appunto 3.0.05 faccio notare che sono andato sul sito e scaricato ovviamente con connessione internet e dopo che era aggiornato ho prima svolto antivirus e pulizie di controllo, poi aperto senza connessione ( serve o no l ho fatto cmq ) da qui aperto e tutto ok pasword senza dover riscrivere le famose 12 parole e come sempre connesso al mio wallet con tutto dentro grazie per le dritte Oplus ;) buona giornata a tutti Figurati ;) Devo dire che sei stato molto più prudente di me; la prossima volta farò come hai fatto tu :) Title: Re: Grave vulnerabilità Electrum Post by: Maluscoviski on January 09, 2018, 06:11:19 PM La nuova versione è standardizzata ?, perché intendo utilizzare questo portfolio
Title: Re: Grave vulnerabilità Electrum Post by: asdlolciterquit on January 10, 2018, 08:14:13 AM New release: 3.0.5. (security update). https://electrum.org/#download Please upgrade; release 3.0.4 did not completely address the vulnerability. Sono veramente scarsi.. mamma mia Speriamo che non introducano altri errori x sistemare questo In teoria, jsonrpc, se nn ricordo male,può essere spento dici che è proprio un errore da principianti? Io con electrum mi sono sempre trovato bene (anche se non lo apro da un bel po' ormai), ma ora sono un po' spaventato. Tu cosa usi? |