Уязвимость BDU:2022-04071

Идентификатор: BDU:2022-04071.

Наименование уязвимости: Уязвимость функции «Restore Session» Web3-кошелька для криптовалют MetaMask, позволяющая нарушителю получить доступ к фразе восстановления доступа.

Описание уязвимости: Уязвимость функции «Restore Session» Web3-кошелька для криптовалют MetaMask связана с хранением конфиденциальной информации в незашифрованном виде. Эксплуатация уязвимости может позволить нарушителю доступ к фразе восстановления доступа
Уязвимое ПО: Сетевое средство, Сетевое программное средство ConsenSys MetaMask до 10.11.3 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 29.06.2022.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,4)

Возможные меры по устранению:
Компенсирующие меры:
— не устанавливайте флажок «Show Secret Recovery Phrase»;
— использование программного обеспечения для шифрования информации.

Использование рекомендаций производителя:
https://github.com/MetaMask/metamask-extension/compare/v10.11.2…v10.11.3.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-32969.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/MetaMask/metamask-extension/compare/v10.11.2…v10.11.3
https://halborn.com/disclosures/demonic-vulnerability/
https://halborn.com/halborn-discovers-critical-vulnerability-affecting-crypto-wallet-browser-extensions/