Исследователь безопасности обнаружил «катастрофическую» уязвимость в браузере Arc, которая позволяла злоумышленникам вставлять произвольный код в сеансы других пользователей, имея лишь их идентификатор. Уязвимость была исправлена 26 августа.
Журналы The Browser Company показывают, что ни один пользователь не был затронут уязвимостью.
Эксплойт CVE-2024-45489 основывался на неправильной конфигурации в реализации Firebase, «базы данных как бэкенд-сервиса» для хранения информации о пользователях, включая Arc Boosts, функцию, которая позволяет им настраивать внешний вид посещаемых веб-сайтов.
В The Browser Company отметили: «В Arc есть функция под названием Boosts, которая позволяет настраивать любой веб-сайт с помощью пользовательских CSS и Javascript. Поскольку запуск произвольного Javascript на веб-сайтах может иметь потенциальные проблемы безопасности, мы решили не делать Boosts с пользовательским Javascript доступными для совместного использования участниками, но всё равно синхронизировали их с нашим сервером, чтобы ваши Boosts были доступны на всех устройствах».
Как признали в компании, «Firebase ACL (списки контроля доступа, способ, которым Firebase защищает конечные точки) были неправильно настроены, что позволяло пользователям Firebase запрашивать изменение creatorID Boost после его создания». Это позволяло назначать любой Boost любому пользователю при наличии его userID и, таким образом, активировать его, что приводило к запуску пользовательского CSS или JS на веб-сайте, где был активен Boost.
Как отмечает обнаруживший уязвимость исследователь, creatorID можно получить несколькими способами, включая реферальные ссылки, общие мольберты и общедоступные Boosts. С помощью этой информации злоумышленник мог создать Boost с произвольным кодом и добавить его в учётную запись Arc жертвы без каких-либо действий со стороны жертвы.
Когда он сообщил об ошибке соучредителю The Browser Company Хуршу Агравалу и продемонстрировал эксплойт, то был добавлен в Slack компании в течение получаса. Ошибка была исправлена на следующий день. Теперь в заявлении компании приводится список улучшений безопасности, включая создание программы вознаграждения за обнаруженные ошибки, отказ от Firebase, отключение пользовательского Javascript в синхронизированных Boosts и найм дополнительных сотрудников службы безопасности.
Ранее в браузере Arc представили встроенный блокировщик рекламы, возможности предотвращения отслеживания и автоматическое удаление баннеров с файлами cookie.
Источник: habr.com