Retour au portail de sécurité
Missing confirmation in the ECDHSessionKey call
Signalé sur November 26, 2023
The Trezor Safe 3 returns the ECDHSessionKey without requiring appropriate user interaction, resulting in the omission of address confirmation screens in the user interaction workflow.
This concerns only the SSH functionality in Trezor and was fixed in 2.6.4.
Signalé par Mathias Herberts
Trezor Safe 3
Vulnérabilités résolues
Signalé par la communauté. Examiné. Résolu. Parce que votre sécurité n’est jamais optionnelle.
- Biometric Verification bypassed in Trezor Suite with external monitor9 mars 2026
- Insufficient entropy on Trezor Model One with 12/18 words6 février 2026
- Inability to cancel certain flows on pre-production firmware31 octobre 2025
- Fix side-channel in BIP-39 mnemonic processing when unlocked24 septembre 2025
- Donjon's Trezor Safe 3 evaluation12 novembre 2024
- XSS in Trezor Connect legacy versions7 février 2023