VDB-9923 · OSVDB 96174 · GCVE-100-9923

Bitcoin antes 3.15 em Android Random Number Generator Autenticação fraca

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
6.7$0-$5k0.00

Sumárioinformação

Foi identificada uma vulnerabilidade classificada como problemático em Bitcoin no Android. O elemento afetado é uma função não identificada no componente Random Number Generator. A manipulação com uma entrada desconhecida leva a Autenticação fraca. Além disso, um exploit está disponível. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Foi identificada uma vulnerabilidade classificada como problemático em Bitcoin no Android. O elemento afetado é uma função não identificada no componente Random Number Generator. A manipulação com uma entrada desconhecida leva a Autenticação fraca. Usar CWE para declarar o problema leva a CWE-287. A fraqueza foi publicada 11/08/2013 como Android Security Vulnerability - 11 August 2013 como Alert (Site). O comunicado foi disponibilizado para download em bitcoin.org. A divulgação pública foi coordenada com o fornecedor.

Nenhuma informação técnica disponível. Esta vulnerabilidade apresenta popularidade inferior à média. Além disso, um exploit está disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O boletim informa:

Because the problem lies with Android itself, this problem will affect you if you have a wallet generated by any Android app.

Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k.

A actualização para a versão 3.15 é capaz de abordar esta questão. O patch pode ser baixado em code.google.com. Recomenda-se a actualização do componente afectado. O parecer contém a seguinte observação:

In order to re-secure existing wallets, key rotation is necessary. This involves generating a new address with a repaired random number generator and then sending all the money in your wallet back to yourself. If you use an Android wallet then we strongly recommend you to upgrade to the latest version available in the Play Store as soon as one becomes available. Once your wallet is rotated, you will need to contact anyone who has stored addresses generated by your phone and give them a new one. If you can't update your Android app, alternatively, you can send your bitcoins to a Bitcoin wallet on your computer until your Android app can be updated. You should make sure not to send back your bitcoins to your old insecure addresses.

Afetado

  • Bitcoin Wallet
  • BitcoinSpinner
  • Mycelium Bitcoin Wallet
  • Blockchain

Produtoinformação

Tipo

Nome

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 7.5
VulDB Meta Pontuação Temporária: 6.7

VulDB Pontuação Base: 7.5
VulDB Pontuação Temporária: 6.7
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Autenticação fraca
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Privado
Estado: Não provado
Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo 0-dia: 🔍

Atualização: Bitcoin 3.15
Patch: code.google.com

Linha do tempoinformação

11/08/2013 🔍
14/08/2013 +3 dias 🔍
21/03/2019 +2045 dias 🔍

Fontesinformação

Aconselhamento: Android Security Vulnerability - 11 August 2013
Estado: Não definido
Coordenado: 🔍

GCVE (VulDB): GCVE-100-9923
OSVDB: 96174

scip Labs: https://www.scip.ch/en/?labs.20130704
Vários: 🔍
Veja também: 🔍

Entradainformação

Criado: 14/08/2013 16h37
Atualizado: 21/03/2019 10h37
Ajustamentos: 14/08/2013 16h37 (50), 21/03/2019 10h37 (2)
Completo: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!