money
El director ejecutivo y cofundador de The Browser Company, Hurshpublicó recientemente detalles sobre una vulnerabilidad (CVE-2024-45489) en Navegador de arcoque permitía la ejecución remota de código en las computadoras de los usuarios. La infracción fue encontrada y reportada por el investigador identificado como xyz3vahabiendo sido corregido el 26 de agosto por la empresa.
Según Hursh, la vulnerabilidad está relacionada con el recurso. Impulsalo que permite adoptar CSS y JavaScript personalizados en cualquier sitio web. Resulta que las ACL de Firebase, solían persistir Impulsa y permitir compartir y sincronizar, estaban mal configurados, lo que permite a los usuarios solicitar que Firebase cambie el ID de creador de un Aumentar después de su creación.
Esto permitió que cualquier Aumentar podría asignarse a cualquier usuario (siempre que tuviera su ID de usuario) y así activarlo para él, lo que provocaría que se ejecutara CSS o JS personalizado en el sitio donde Boost estaba activo.
En otras palabras, esto significa que los atacantes podrían adoptar código arbitrario en secciones de terceros simplemente contando con el ID del usuario en cuestión, sin que este tenga necesariamente que acceder a ningún sitio web, algo que técnicamente detalló el investigador en su blog.
The Browser Company trabajó junto con xyz3va para reparar las ACL y cerrar la vulnerabilidad, algo que se hizo el día después de que se revelara la infracción. Sin embargo, aparentemente ningún miembro de Arc se vio afectado por la infracción, según un análisis de los registros de acceso a Firebase realizado por la empresa.
Arc Browser también ha implementado una serie de cambios para prevenir futuras vulnerabilidades, como deshabilitar JavaScript en Impulsa sincronizado de forma predeterminada, reemplazar Firebase con nuevas funciones y productos y establecer pautas más claras para recompensar a quienes descubran agujeros en la aplicación.
vía El borde
