Source: The Verge
一名安全研究人员揭示了Arc浏览器中的一个‘灾难性’漏洞,该漏洞允许攻击者仅凭轻易获得的用户ID在其他用户的浏览会话中插入任意代码。此漏洞于8月26日被修复,研究人员xyz3va今天在一篇博客文章以及The Browser Company的声明中披露。该公司的日志显示,没有用户受到该漏洞的影响。
该漏洞依赖于The Browser Company针对Firebase配置的不当,这是一个用于存储用户信息的“数据库即服务。公司表示,Arc拥有Boosts功能,可以让用户自定义访问的网站外观。
不过,由于安全原因,该功能的自定义Javascript无法共享给其他用户,但依然可以在设备间同步。Firebase的访问控制列表配置错误,导致用户能够在创建后更改Boost的创建者ID,使任意用户可激活位于其他用户Arc帐户上的Boost。
xyz3va快速报告了该漏洞,The Browser Company对此迅速做出了反应,并在第二天修复了漏洞。此外,公司还计划实施一系列安全改进措施,包括建立漏洞奖励程序、停止使用Firebase、禁用同步Boost的自定义Javascript及增加安全人员数量。
在数字世界的安全问题中,每一个漏洞都可能成为不法分子利用的钥匙,我们应时刻保持警觉。
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
info@microheadline.com
来源:https://www.theverge.com/2024/9/20/24249919/arc-browser-boost-firebase-vulnerability-patched
https://www.notentirelyboring.com/i-love-arc-browser-but/
https://cisoseries.com/cybersecurity-news-arc-browser-sabotaged-cencora-pharma-breach-albany-county-breach/
