image

Onderzoeker vindt 'catastrofaal' beveiligingslek in Arc-browser

maandag 23 september 2024, 09:43 door Redactie, 1 reacties

Een beveiligingsonderzoeker heeft een naar eigen zeggen 'catastrofale' kwetsbaarheid in de op Chromium-gebaseerde Arc-browser gevonden waardoor het mogelijk was om willekeurige JavaScript binnen de browser van alle gebruikers uit te voeren, waarbij alleen het kennen van een user-ID voldoende was. Het probleem speelde alleen bij de Arc-browser, andere Chromium-gebaseerde browsers waren niet kwetsbaar. The Browser Company, het bedrijf achter de Arc-browser, had oorspronkelijk geen bugbountyprogramma, maar besloot de onderzoeker met het alias 'xyzeva' een beloning van tweeduizend dollar toe te kennen.

De Arc-browser biedt een feature genaamd 'Boosts', waarmee het mogelijk is om elke website door middel van custom CSS en JavaScript aan te passen. Deze aanpassingen slaat Arc op in Firebase. The Browser Company had naar eigen zeggen de Firebase ACL's (Access Control Lists) verkeerd geconfigureerd, waardoor het mogelijk was om de CreatorID van een Boost te veranderen nadat die was aangemaakt. Hierdoor was het mogelijk om een malafide Boost aan elke willekeurige gebruiker toe te kennen, die dan automatisch werd geactiveerd als ze de website bezochten waarvoor de Boost was aangemaakt.

Het bleek daarbij eenvoudig om het user-ID te achterhalen. Een aanvaller zou zo een Boost kunnen maken met malafide JavaScript dat binnen de browser van de gebruiker zou worden uitgevoerd. De kwetsbaarheid (CVE-2024-45489) werd op 25 augustus aan The Browser Company gemeld dat een dag later met een fix en beloning kwam. Naar aanleiding van het incident gaat Arc-browser JavaScript in gesynchroniseerde Boosts standaard uitschakelen, zal het Firebase niet meer voor nieuwe features en producten gebruiken, worden bestaande Firebase ACL's geaudit, is er een security-engineer aangenomen en een bugbountyprogramma gestart.

Reacties (1)
23-09-2024, 16:42 door Anoniem
Onderzoeker vindt 'catastrofaal' beveiligingslek in Arc-browser
Security onderzoekers overdrijven graag. Heeft het al een fancy naam en bijbehorend logo? Of is die hype inmiddels voorbij?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.