研究者、Arc ブラウザーに『災難的』なセキュリティーの脆弱性を暴露

セキュリティー研究者xyz3vaがArcブラウザーで深刻な脆弱性を発見しました。この脆弱性は、攻撃者がユーザーIDを使い、他のユーザーのブラウザーセッションに任意のコードを挿入することを可能にしました。この脆弱性、CVE-2024-45489は、The Browser CompanyがFirebaseをユーザー情報の保存に実装する際の誤構成が原因です。この攻撃は、Arc Boosts機能に依存し、ユーザーがウェブサイトをカスタムCSSとJavaScriptでカスタマイズできるようにします。The Browser Companyの誤構成されたFirebase ACLsは、ユーザーがBoostのcreatorIDを変更することを許可し、任意のBoostを任意のユーザーに割り当てることができます。この脆弱性は、攻撃者が、被害者のArcアカウントに知らされずに、任意のコードを持つBoostを作成し、追加することを可能にしました。The Browser Companyは、バグレポートを受け取るとすぐに対応し、8月26日にパッチを適用し、公的に開示しました。同社によると、ログによると、ユーザーがこの脆弱性の影響を受けなかったようです。同社は、バグバウンティープログラムの導入、Firebaseからの移行、追加のセキュリティスタッフの雇用など、複数のセキュリティー向上策を実施します。同社は、将来の類似の脆弱性を防ぐために、同期されたBoostsでのカスタムJavaScriptを無効にする予定です。The Browser Companyの速い対応と積極的な対策は、将来的にこのような脆弱性が起こらないようにすることを目指しています。