Grave vulnerabilità Electrum

[goemon888]

Critical vulnerablity in Electrum; SHUT DOWN ELECTRUM IMMEDIATELY and upgrade. Other clients are fine

- Non usare la versione vecchia

- Non c'è urgenza nell'usare quella nuova

https://bitcointalk.org/index.php?topic=2702103.0

i cold wallet immagino siano al sicuro (ma per aggiornare qual è la procedura consigliata? sia cold wallet che hot wallet in lettura devono avere la stessa versione del programma?)

[babo]

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

[facile]

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

[jack0m]

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC

[w0lf0.]

fatto subito l’upgrade, l’ho proprio usato fino a pochi minuti fa mannaggia, spero non mi succeda nulla 
vabbe che avevo poco pero cavolo che vulnerabilita bella tosta

[0plus0max]

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

[goemon888]

New release: 3.0.5. (security update). https://electrum.org/#download  Please upgrade; release 3.0.4 did not completely address the vulnerability.

[babo]

New release: 3.0.5. (security update). https://electrum.org/#download  Please upgrade; release 3.0.4 did not completely address the vulnerability.

Sono veramente scarsi.. mamma mia
Speriamo che non introducano altri errori x sistemare questo
In teoria, jsonrpc, se nn ricordo male,può essere spento

[facile]

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC

Ok,grazie
Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida?
Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

[jack0m]

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC

Ok,grazie
Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida?
Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

ovviamente il sito non ti avvisa prima se contiene uno script malevolo
Potrebbe essere inserito volutamente da chi gestisce il sito, oppure a sua insaputa, sfruttando ad esempio vulnerabilità XSS. Un altro canale sfruttato a volte sono gli spazi pubblicitari presenti in molti siti, che i criminali affittano proprio con lo scopo di inserirci del malware, ovviamente tutto senza che il proprietario del sito se ne accorga.
Quindi il pericolo potenzialmente può nascondersi in qualunque sito, una protezione valida è data da estensioni che bloccano gli script, come ad es. https://noscript.net/, disponibile per Firefox (ma ce ne sono di analoghe anche per Chrome)

[0plus0max]

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

[mattonebit]

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie

[0plus0max]

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie

Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok.

[balladofjpeg]

qualcuno ha aggiornato electrum con l'uso su hd wallet, nel mio caso ledger?
non vorrei fare casino

[facile]

cold wallet non é collegato direttamente a internet
quindi in teoria é piu complesso da exploitare il bug

di sicuro attaccheranno nel breve i wallet direttamente connessi, cosi che puoi fare una chiamata ajax al server interno locale jsonrpc

Saresti così gentile da spiegarmi in parole più semplici cosa vuol dire?

che se ti colleghi da browser ad un qualunque sito, questo tramite uno script malevolo inserito in una pagina può accedere ad un servizio che gira in locale sulla tua macchina. Nel caso specifico, il servizio in questione permette di controllare il tuo wallet installato sul PC

Ok,grazie
Ma questo può succedere semplicemente basta che accedo a qualunque pagina oppure questo script malevolo viene inserito solo in alcuni siti?Ho fatto una domanda stupida?
Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

ovviamente il sito non ti avvisa prima se contiene uno script malevolo
Potrebbe essere inserito volutamente da chi gestisce il sito, oppure a sua insaputa, sfruttando ad esempio vulnerabilità XSS. Un altro canale sfruttato a volte sono gli spazi pubblicitari presenti in molti siti, che i criminali affittano proprio con lo scopo di inserirci del malware, ovviamente tutto senza che il proprietario del sito se ne accorga.
Quindi il pericolo potenzialmente può nascondersi in qualunque sito, una protezione valida è data da estensioni che bloccano gli script, come ad es. https://noscript.net/, disponibile per Firefox (ma ce ne sono di analoghe anche per Chrome)

Sei stato chiarissimo,grazie
Mi è rimasto il dubbio solo su questo punto:

Un'ultima domanda:per assumere il controllo del portafoglio,sia il programma(in questo caso Electrum) che la pagina col codice malevolo,devono essere contemporaneamente aperti oppure basta semplicemente che vengano aperti entrambi anche in momenti diversi?

In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?

[mattonebit]

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie

Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok.

ciao Oplus grazie
fatto e ok fin ora, versione 3.0.05 istallata  (sul PC window 7)
Passi : https://electrum.org/#download
io ho fatto window istaller che aggiorna direttamente l icona senza creare un doppione, controllando la versione e aggiornamento risulta tutto su oggi e versione appunto 3.0.05
faccio notare che sono andato sul sito e scaricato ovviamente con connessione internet e dopo che era aggiornato ho prima svolto antivirus e pulizie di controllo, poi aperto senza connessione ( serve o no l ho fatto cmq ) da qui aperto e tutto ok
pasword senza dover riscrivere le famose 12 parole e come sempre connesso al mio wallet con tutto dentro
grazie per le dritte Oplus
buona giornata a tutti

[jack0m]

In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?

se il browser è chiuso escludi attacchi da siti web malevoli, ma se hai del malware direttamente installato sul PC, potrebbe sfruttare la vulnerabilità ogni volta che apri il wallet, finché non hai la versione aggiornata con la fix.

[facile]

OK,adesso è tutto chiaro
Grazie infinite

[babo]

In poche parole,se io apro electrum e non ho alcun browser aperto,successivamente lo chiudo,avvio il browser e incappo in una di quelle pagine che contengono lo script malevolo,rischio lo stesso?

se il browser è chiuso escludi attacchi da siti web malevoli, ma se hai del malware direttamente installato sul PC, potrebbe sfruttare la vulnerabilità ogni volta che apri il wallet, finché non hai la versione aggiornata con la fix.

esatto, non scherzateci perche possono potenzialmente fregarvi tutti i soldi che avete
il mio consiglio come sempre é di prendere un hw wallet come trezor o ledger

ripeto, investite questi 100 euro per garantirvi sicurezza

[0plus0max]

Per favore potreste spiegare ad un niubbo come si aggiorna Electrum?
Ho la versione 3.0.0. protetto da una password incasinatissima di circa 60 caratteri. L'avrò aperto circa 3 o 4 volte, sempre con i browser chiusi. Inoltre, finora i bitcoin sono sempre entrati e mai usciti.
Quindi credo che non sia successo nulla ai miei bitcoin. Ora però ho la paranoia ad aprirlo e volevo aggiornarlo all'ultima versione.
Come devo fare? Cioè, scarico il file, lo eseguo e fa tutto lui? Non devo cancellare la vecchia versione prima? Mi ritroverò 2 wallet sul pc o il vecchio verrà automaticamente sovrascritto? E quando lo avvierò digiterò la mia vecchia password e finisce lì o dovrò scegliere se voglio creare un nuovo wallet o usarne uno vecchio e quindi mi chiederà di digitare il seed? Scusate ma sono un po' in panico

Ho fatto da solo, grazie comunque.

Se a qualcuno servisse saperlo, la versione 3.0.5 sovrascrive direttamente il wallet; quindi lo installate, scrivete la password (se l'avevate impostata nel precedente) e avrete già il vostro wallet con il saldo.

ciao ottimo
posso chiederti se hai scaricato la versione 3.0.05 e si è sovrascritta da questo sito ?
https://electrum.org/#download
avevi Windows ?
se puoi darmi due dritte grazie

Si, ti confermo il link. Ho scaricato la versione standalone. Ci tengo a precisare che ho win10 e che la versione precedente di Electrum che avevo era la 3.0.0. Inoltre dopo aver installato, avviato e constatato che il nuovo wallet era funzionante, ho visto che sul desktop l'icona del vecchio non era scomparsa. Non ho le conoscenze tecniche per dirti se è normale; io, semplicemente, ho rimosso la vecchia icona e tenuto quella nuova, ovviamente riprovando se tutto funzionava. Tutto ok.

ciao Oplus grazie
fatto e ok fin ora, versione 3.0.05 istallata  (sul PC window 7)
Passi : https://electrum.org/#download
io ho fatto window istaller che aggiorna direttamente l icona senza creare un doppione, controllando la versione e aggiornamento risulta tutto su oggi e versione appunto 3.0.05
faccio notare che sono andato sul sito e scaricato ovviamente con connessione internet e dopo che era aggiornato ho prima svolto antivirus e pulizie di controllo, poi aperto senza connessione ( serve o no l ho fatto cmq ) da qui aperto e tutto ok
pasword senza dover riscrivere le famose 12 parole e come sempre connesso al mio wallet con tutto dentro
grazie per le dritte Oplus
buona giornata a tutti

Figurati   Devo dire che sei stato molto più prudente di me; la prossima volta farò come hai fatto tu