Säkerhetsbuggar åtgärdade i Ledger

Ett antal säkerhetsbuggar har blivit åtgärdade i produkter från som används för ( eller ). En av buggarna som identifierades av den femtonåriga  gör att en person som har fysisk tillgång till en enhet kan komma åt den privata nyckeln.

Saleems attack går under namnet MCU-fooling och går ut på att firmware i en av två processorer modifieras, exempelvis av en återförsäljare av enheterna. Ledger meddelar att en uppdatering till version 1.4.1 åtgärdar dessa buggar för S. Till Ledger Blue finns det ännu ingen uppdatering.

Rasheed said unlike its competitors in the hardware wallet industry, Ledger includes no tamper protection seal or any other device that might warn customers that a Nano S has been physically opened or modified prior to its first use by the customer.

Även två till säkerhetsbuggar har blivit åtgärdade. Läs mer om dessa här:

  • Timothée Isnard – Oracle padding på SCP
  • Sergei Volokitin – Isolation Exploit

Hej! Det vore kul om du ville stödja Kryptera.se via Patreon >

Uppdatering: Det har hänt en hel del runt denna historien. Saleem har skrivit ett eget utmärkt blogginlägg och han har även identifierat en sårbarhet i Trezor Wallet.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.