PT-2020-13047 · Ledger · Ledger Live
Oded Leiba
+1
·
Publicado
2020-07-02
·
Atualizado
2020-07-08
·
CVE-2020-12119
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Ledger Live anteriores à 2.7.0
Descrição
O problema decorre da incapacidade do software de lidar adequadamente com o recurso Replace-By-Fee (RBF) do Bitcoin. Ele atualiza incorretamente o saldo do usuário ao adicionar o valor das transações não confirmadas assim que elas são recebidas, sem aguardar a confirmação. Além disso, ele não ajusta o saldo quando uma transação é cancelada. Isso expõe os usuários a vários ataques, incluindo ataques básicos de duplo gasto, ataques amplificados de duplo gasto e ataques de Negação de Serviço (DoS), todos sem o consentimento do usuário.
Recomendações
Para versões anteriores à 2.7.0, atualize para a versão 2.7.0 ou posterior para resolver o problema.
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ledger Live