| 28 сентября 2024 г. — 5:38 PT
В конце августа The Browser Company — компания, стоящая за популярным браузером для Mac Arc, — узнала о серьезной уязвимости в системе безопасности браузера, которая могла позволить удаленное выполнение кода на компьютерах других пользователей без прямого взаимодействия. Они оперативно устранили ее после получения уведомления, а детали уязвимости были раскрыты на прошлой неделе.
Обновление от 28 сентября: Всего за неделю The Browser Company завершила работу над устранением ряда своих недостатков в области безопасности. Джош Миллер, генеральный директор The Browser Company, опубликовал в пятницу твит, в котором изложил все внесенные изменения. Это включает в себя обещанную программу поощрения за обнаружение ошибок, новый бюллетень по безопасности, а также другие внутренние изменения, связанные с процедурами безопасности.
Кроме того, они увеличили выплату вознаграждения xyz3va с 2000 долларов США до 20000 долларов США, а генеральный директор лично предложил им работу, если они заинтересованы. Оригинальная история ниже:
Инцидент
The Browser Company подтвердила, что уязвимость не затронула ни одного пользователя, и вам не нужно обновлять Arc, чтобы оставаться защищенным. Компания заявила, что это был «первый серьезный инцидент безопасности за время существования Arc».
Исследователь безопасности xyz3va сообщил о нем в Arc в частном порядке, и вы можете прочитать его полное описание проблемы, если хотите. По сути, в Arc есть функция Boost, которая позволяла пользователям настраивать веб-сайты с помощью собственного CSS и JavaScript. Arc знал, что обмен пользовательским JavaScript может быть рискованным, поэтому они никогда официально не разрешали пользователям делиться Boosts, содержащими пользовательский JavaScript. Однако эта уязвимость нашла лазейку в этой системе.
По сути, Arc все еще сохранял пользовательские Boosts с JavaScript на своем сервере, что позволяло им синхронизироваться между устройствами. Arc использовал Firebase в качестве серверной части для некоторых функций, но неправильная настройка Firebase позволила пользователям изменять creatorID Boost после его создания.
Это проблема, потому что, получив идентификатор другого пользователя, вы могли изменить идентификатор, связанный с Boost, и тогда этот Boost синхронизировался бы с компьютером этого пользователя. Не очень хорошо.
Существовало несколько способов получить чужой идентификатор пользователя, в том числе:
- Получить их реферальную ссылку, которая содержала бы их идентификатор пользователя
- Проверить, опубликовали ли они какие-либо Boosts, которые также содержали бы их идентификатор пользователя
- Посмотреть на чей-то общий easel (по сути, доску для заметок), где вы также можете получить их идентификатор пользователя
Еще раз подчеркнем, что этой уязвимостью на самом деле никто не воспользовался. Однако последствия могли быть весьма серьезными, и The Browser Company по-прежнему предпринимает шаги для устранения проблем в будущем.
Как они с этим разбираются
Отныне JavaScript будет отключен в синхронизированных Boosts по умолчанию, что предотвратит подобные атаки в будущем. Вам придется явно включать пользовательский JavaScript на других устройствах.
Кроме того, они планируют отказаться от Firebase для новых функций и продуктов, а также добавлять меры безопасности в заметки о выпуске Arc, обеспечивая дополнительную прозрачность.
Они также планируют нанять больше сотрудников в команду безопасности и недавно наняли нового инженера по безопасности.
Исследователь, сообщивший об этой проблеме, получил вознаграждение в размере 2000 долларов США, чего The Browser Company традиционно не делала. Однако в будущем они хотят иметь более четкий процесс, связанный с вознаграждениями.