Een beveiligingsonderzoeker heeft een naar eigen zeggen 'catastrofale' kwetsbaarheid in de op Chromium-gebaseerde Arc-browser gevonden waardoor het mogelijk was om willekeurige JavaScript binnen de browser van alle gebruikers uit te voeren, waarbij alleen het kennen van een user-ID voldoende was. Het probleem speelde alleen bij de Arc-browser, andere Chromium-gebaseerde browsers waren niet kwetsbaar. The Browser Company, het bedrijf achter de Arc-browser, had oorspronkelijk geen bugbountyprogramma, maar besloot de onderzoeker met het alias 'xyzeva' een beloning van tweeduizend dollar toe te kennen.

De Arc-browser biedt een feature genaamd 'Boosts', waarmee het mogelijk is om elke website door middel van custom CSS en JavaScript aan te passen. Deze aanpassingen slaat Arc op in Firebase. The Browser Company had naar eigen zeggen de Firebase ACL's (Access Control Lists) verkeerd geconfigureerd, waardoor het mogelijk was om de CreatorID van een Boost te veranderen nadat die was aangemaakt. Hierdoor was het mogelijk om een malafide Boost aan elke willekeurige gebruiker toe te kennen, die dan automatisch werd geactiveerd als ze de website bezochten waarvoor de Boost was aangemaakt.

Het bleek daarbij eenvoudig om het user-ID te achterhalen. Een aanvaller zou zo een Boost kunnen maken met malafide JavaScript dat binnen de browser van de gebruiker zou worden uitgevoerd. De kwetsbaarheid (CVE-2024-45489) werd op 25 augustus aan The Browser Company gemeld dat een dag later met een fix en beloning kwam. Naar aanleiding van het incident gaat Arc-browser JavaScript in gesynchroniseerde Boosts standaard uitschakelen, zal het Firebase niet meer voor nieuwe features en producten gebruiken, worden bestaande Firebase ACL's geaudit, is er een security-engineer aangenomen en een bugbountyprogramma gestart.