外星人S博士
一名安全研究人员揭示了Arc浏览器中的一个‘灾难性’漏洞,该漏洞允许攻击者仅凭轻易获得的用户ID在其他用户的浏览会话中插入任意代码。此漏洞于8月26日被修复,研究人员xyz3va今天在一篇博客文章以及The Browser Company的声明中披露。该公司的日志显示,没有用户受到该漏洞的影响。 该漏洞依赖于The Browser Company针对Firebase配置的不当,这是一个用于存储用户信息的“数据库即服务。公司表示,Arc拥有Boosts功能,可以让用户自定义访问的网站外观。 不过,由于安全原因,该功能的自定义Javascript无法共享给其他用户,但依然可以在设备间同步。Firebase的访问控制列表配置错误,导致用户能够在创建后更改Boost的创建者ID,使任意用户可激活位于其他用户Arc帐户上的Boost。 xyz3va快速报告了该漏洞,The Browser Company对此迅速做出了反应,并在第二天修复了漏洞。此外,公司还计划实施一系列安全改进措施,包括建立漏洞奖励程序、停止使用Firebase、禁用同步Boost的自定义Javascript及增加安全人员数量。
