Szczegóły techniczne opisujące szczegółowo tę podatność – której nadaną nazwę INVDoS - opublikowano dopiero w zeszłym tygodniu w momencie, gdy do publicznej wiadomości przedostała się wiadomość iż podobną lukę wykryto w oprogramowaniu obsługującym inną kryptowalutę.

Lukę INVDoS można wykorzystać do przeprowadzania klasycznych ataków typu DoS (to bombardowanie systemu tak dużą liczbą zapytań, że w pewnym momencie przestaje on świadczyć usługi i zawiesza się. Podatność INVDoS została odkryta w 2018 roku przez Braydona Fullera, informatyka specjalizującego go się w projektowaniu systemów obsługujących kryptowaluty.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie

Odkrył on, iż znając tę lukę – umiejscowioną w protokole obsługującym transakcje blochchain - haker może spreparować zapytania kierowane do serwera w taki sposób, że zainstalowana w nim pamięć ulega przepełnienia (błąd „out of memory”) i cały system zawiesza się.

Dobra wiadomość jest taka, że przez ostanie dwa lata nie odnotowano żadnych prób włamywania się do systemów blochchain, które próbowały wykorzystać tę lukę, a informacja o podatności została już w pilnym trybie przekazana wszystkim zainteresowanym stronom. Pojawiła się też natychmiast łata oznaczona symbolem CVE-2018-17145.

Ważne jest też to, że opis łaty – umieszczony tutaj na witrynie instytutu NIST; National Institute of Standards and Technology - nie zawiera żadnych szczegółowych informacji, które mogłyby posłużyć hakerom do prób ominięcia tej podatności. Jest tylko sucha informacja o tym, czego ona dotyczy.