Исследователь обнаружил «катастрофическую» уязвимость в безопасности браузера Arc

Исследователь безопасности по имени xyz3va обнаружил серьезную уязвимость в браузере Arc, которая позволяла злоумышленникам вставлять произвольный код в сеансы браузера других пользователей, используя только идентификатор пользователя. Уязвимость, известная как CVE-2024-45489, была вызвана неправильной конфигурацией в реализации Firebase компанией The Browser Company для хранения информации о пользователях. Эксплуатация уязвимости основывалась на функции Arc Boosts, которая позволяет пользователям настраивать веб-сайты с помощью пользовательских CSS и JavaScript. Неправильно настроенные ACLs Firebase в The Browser Company позволяли пользователям изменять creatorID Boost, что позволяло любому Boost быть присвоенным любому пользователю. Эта уязвимость могла бы позволить злоумышленникам создать Boost с произвольным кодом и добавить его к учетной записи Arc жертвы без ее знания или действия. Компания The Browser Company быстро отреагировала на отчет о баге, исправив уязвимость 26 августа и обнародовав ее публично. Согласно компании, ее журналы указывают, что ни один пользователь не пострадал от этой ошибки. Компания реализует несколько мер по улучшению безопасности, включая запуск программы bug bounty, переход с Firebase и найм дополнительного персонала безопасности. Компания также отключает пользовательский JavaScript на синхронизированных Boosts, чтобы предотвратить подобные уязвимости в будущем. Быстрый ответ и профилактические меры компании The Browser Company направлены на предотвращение таких уязвимостей в будущем.