早在 8 月底,The Browser Company(流行的 Mac 浏览器 Arc 背后的公司)就意识到浏览器中存在严重的安全漏洞,该漏洞可能允许在没有直接交互的情况下在其他用户计算机上远程执行代码。他们在接到警报后立即修复了该漏洞,并于几天前披露了该漏洞的详细信息。
事件
据 The Browser Company 称,没有用户受到该漏洞的影响,您不必为了受到保护而更新 Arc。该公司表示,这是“Arc 一生中发生的第一起严重安全事件”。
安全研究员 xyz3va 私下向 Arc 报告了该问题,如果您愿意,您可以阅读他们关于该问题的完整文章。本质上,Arc 有一个名为 Boost 的功能,它允许用户使用自己的 CSS 和 JavaScript 自定义网站。 Arc 知道共享自定义 JavaScript 可能存在风险,因此他们从未正式允许用户共享包含自定义 JavaScript 的 Boost。然而,这个漏洞在该系统中发现了一个漏洞。
本质上,Arc 仍然使用 JavaScript 将自定义增强保存到他们的服务器上,这使得他们能够跨设备同步。 Arc 还使用 Firebase 作为某些 Arc 功能的后端,但其 Firebase 设置配置错误,允许用户在创建 boost 后更改 boost 的creatorID。
这是一个问题,因为如果您能够获取另一个用户 ID,您可以更改与提升关联的 ID,然后该提升将同步到该用户的计算机。不太好。
您可以通过多种方式获取他人的用户 ID,包括:
- 获取他们的推荐,其中包含他们的用户 ID
- 检查他们是否发布了任何提升,其中也包含他们的用户 ID
- 查看某人的共享画架(本质上是白板),您还可以在其中获取他们的用户 ID
值得再次强调的是,这个漏洞从未被真正利用过。然而,情况可能会很糟糕,浏览器公司仍在采取措施缓解未来的问题。
他们如何解决这个问题
从现在开始,同步的 Boosts 将默认禁用 JavaScript,以防止将来发生类似的攻击。您必须在其他设备上显式启用自定义 JavaScript。
此外,他们计划在新功能和产品中放弃 Firebase,并且还将在 Arc 的发行说明中添加安全缓解措施,从而建立额外的透明度。
他们还计划为安全团队雇用更多人员,最近还聘请了一名新的安全工程师。
报告此问题的研究人员获得了 2000 美元的安全赏金,而浏览器公司传统上从未这样做过。然而,展望未来,他们希望有一个更清晰的赏金流程。
关注迈克尔:X/Twitter、话题
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)