Un chercheur révèle une faille de sécurité 'catastrophique' dans le navigateur Arc

Un chercheur en sécurité nommé xyz3va a découvert une vulnérabilité grave dans le navigateur Arc qui permettait aux attaquants d'injecter du code arbitraire dans les sessions de navigateur d'autres utilisateurs en utilisant uniquement un ID utilisateur. La vulnérabilité, connue sous le nom de CVE-2024-45489, était causée par une mauvaise configuration dans la mise en œuvre de Firebase par The Browser Company pour stocker les informations des utilisateurs. L'exploit reposait sur la fonctionnalité Arc Boosts, qui permet aux utilisateurs de personnaliser les sites web avec du CSS et du JavaScript personnalisés. Les ACLs de Firebase mal configurées de The Browser Company permettaient aux utilisateurs de modifier le creatorID d'un Boost, ce qui permettait à tout Boost d'être attribué à tout utilisateur. Cette vulnérabilité aurait pu permettre aux attaquants de créer un Boost avec du code arbitraire et de l'ajouter au compte Arc d'une victime sans son savoir ou son action. The Browser Company a réagi rapidement au rapport de bogue, en corrigeant la vulnérabilité le 26 août et en la rendant publique. Selon la société, ses journaux indiquent qu'aucun utilisateur n'a été affecté par la faille. La société met en œuvre plusieurs améliorations de sécurité, y compris la mise en place d'un programme de primes pour les bogues, la migration hors de Firebase et l'embauche de personnel de sécurité supplémentaire. La société désactive également le JavaScript personnalisé sur les Boosts synchronisés pour prévenir de telles vulnérabilités à l'avenir. La réaction rapide de The Browser Company et les mesures proactives visent à empêcher de telles vulnérabilités de se produire à nouveau.