セキュリティポータルに戻る
Missing confirmation in the ECDHSessionKey call
報告日:November 26, 2023
The Trezor Safe 3 returns the ECDHSessionKey without requiring appropriate user interaction, resulting in the omission of address confirmation screens in the user interaction workflow.
This concerns only the SSH functionality in Trezor and was fixed in 2.6.4.
報告者 Mathias Herberts
Trezor Safe 3
修正済みの脆弱性
コミュニティからの報告により、調査を行い、問題を解決しました。あなたのセキュリティは常に最優先です。
- Inability to cancel certain flows on pre-production firmware2025年10月31日
- Fix side-channel in BIP-39 mnemonic processing when unlocked2025年9月24日
- Donjon's Trezor Safe 3 evaluation2024年11月12日
- XSS in Trezor Connect legacy versions2023年2月7日
- Insufficient field size check in Protobuf2021年7月12日
- XSS in Trezor Connect2020年8月3日