Ta przeglądarka miała „poważną” lukę w zabezpieczeniach. Oto, jak ją naprawiają


Pod koniec sierpnia The Browser Company – firma stojąca za popularną przeglądarką Mac Arc, dowiedziała się o poważnej luce w zabezpieczeniach przeglądarki, która może pozwolić na zdalne wykonanie kodu na komputerze innego użytkownika bez bezpośredniej interakcji. Załatali ją natychmiast po otrzymaniu ostrzeżenia i ujawnili szczegóły luki ujawniono w zeszłym tygodniu.

Aktualizacja z 28 września: Zaledwie po tygodniu firma The Browser Company zakończyła usuwanie szeregu niedociągnięć w zakresie bezpieczeństwa. Josh Miller, dyrektor generalny The Browser Company, opublikował tweeta w piątek, opisując wszystkie wprowadzone zmiany. Obejmuje to obiecany program nagród za błędy, nowy biuletyn bezpieczeństwa, a także inne wewnętrzne zmiany związane z procedurami bezpieczeństwa.

Dodatkowo mają zwiększony Wypłata nagrody xyz3va od 2 tys. USD do 20 tys. USD i osobiście dyrektor generalny zaproponował im pracę gdyby byli zainteresowani. Oryginalna historia poniżej:

Incydent

The Browser Company potwierdziła, że ​​luka nie dotyczy żadnego użytkownika i nie trzeba aktualizować Arc, aby zachować ochronę. Firma stwierdziła, że ​​był to „pierwszy poważny incydent związany z bezpieczeństwem w życiu Arc”.

Badacz bezpieczeństwa xyz3va zgłosiłeś to prywatnie do Arc i możesz przeczytać ich pełny zapis w tej sprawie, jeśli chcesz. Zasadniczo Arc ma funkcję o nazwie Boost, która pozwala użytkownikom dostosowywać strony internetowe za pomocą własnego CSS i JavaScript. Firma Arc wiedziała, że ​​udostępnianie niestandardowego kodu JavaScript może być ryzykowne, dlatego nigdy oficjalnie nie zezwalała użytkownikom na udostępnianie ulepszeń zawierających niestandardowy kod JavaScript. Jednak exploit ten znalazł lukę w tym systemie.

Reklama

Zasadniczo Arc nadal zapisywał niestandardowe wzmocnienia za pomocą JavaScript na swoim serwerze, co umożliwiło im synchronizację między urządzeniami. Arc używał Firebase jako backendu dla niektórych funkcji, ale źle skonfigurowana konfiguracja Firebase umożliwiła użytkownikom zmianę identyfikatora twórcy ulepszenia po jego utworzeniu.

Jest to problem, ponieważ jeśli uda Ci się uzyskać identyfikator innego użytkownika, możesz zmienić identyfikator powiązany ze wzmocnieniem, a następnie wzmocnienie zostanie zsynchronizowane z komputerem tego użytkownika. Nie wspaniale.

Istniało wiele sposobów uzyskania identyfikatora użytkownika innej osoby, w tym:

  • Uzyskanie ich polecenia, które będzie zawierać identyfikator użytkownika
  • Sprawdzanie, czy opublikowali jakieś boosty, które miałyby również ich identyfikator użytkownika
  • Patrząc na czyjąś wspólną sztalugę (w zasadzie tablicę), na której można również uzyskać identyfikator użytkownika

Jeszcze raz warto podkreślić, że exploit ten nigdy nie został wykorzystany. Mogło być jednak całkiem źle, a firma The Browser Company nadal podejmuje kroki, aby zaradzić problemom w przyszłości.

Jak się do tego odnoszą

Odtąd JavaScript będzie domyślnie wyłączony w zsynchronizowanych Boostach, co zapobiegnie podobnym atakom w przyszłości. W przyszłości będziesz musiał jawnie włączyć niestandardowy JavaScript na innych urządzeniach.

Ponadto planują wycofanie się z Firebase w celu uzyskania nowych funkcji i produktów, a także dodadzą zabezpieczenia do informacji o wersji Arc, zapewniając dodatkową przejrzystość.

Planują także zatrudnienie większej liczby osób w zespole ds. bezpieczeństwa, a niedawno zatrudnili nowego inżyniera ds. bezpieczeństwa.

Badacz, który zgłosił ten problem, otrzymał nagrodę w wysokości 2000 dolarów za bezpieczeństwo, czego The Browser Company tradycyjnie nie robiła. Jednak w przyszłości chcą mieć jaśniejszy proces dotyczący nagród.


Śledź Michaela: X/Twitter, Wątki, Instagrama

FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.





Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Podzielona ergonomiczna klawiatura Nuio Flow wykorzystuje magnesy, aby pomóc Ci znaleźć idealny układ

Nowa firma o nazwie Nuiozałożona przez dwóch braci z doświadczeniem w projektowaniu i produkcji, zmienia podejście do akcesoriów biurowych, mając na celu zwiększenie...

Były dyrektor Apple Design debiutuje w nowej firmie NUIO

Klawiatury przyglądały się i robiły to samo od ponad 100 lat, począwszy od czasów maszyn do pisania. Kiedy więc myślisz o klawiaturach, innowacja...

CORSAIR ogłasza dostępność superwieży iCUE LINK 9000D RGB AIRFLOW

Firma Corsair ogłosiła dzisiaj dostępność obudowy 9000D RGB AIRFLOW, będącej aktualizacją niezwykle popularnej obudowy OBSIDIAN 1000D Super-Tower. Model 9000D, powszechnie znany jako najlepszy...
Advertisment