ثغرة أمنية خطيرة في متصفح Arc تتيح التحكم في حسابات المستخدمين

كشف باحث أمني عن ثغرة “كارثية” في متصفح آرك (Arc) كانت تسمح للمهاجمين بإدخال أكواد برمجية عشوائية في جلسات تصفح المستخدمين الآخرين باستخدام معرّف المستخدم فقط.

تفاصيل الثغرة:

• أُصلحت في 26 أغسطس وكُشف عنها اليوم.
• تحمل رمز CVE-2024-45489.
• نتجت عن خطأ في تكوين خدمة Firebase المستخدمة لتخزين معلومات المستخدمين.
• تؤثر على ميزة “Arc Boosts” لتخصيص مظهر المواقع.

آلية عمل الثغرة:

• إمكانية تغيير معرّف منشئ الـ “Boost” بعد إنشائه.
• إضافة أي “Boost” لأي مستخدم باستخدام معرّفه.
• تنفيذ أكواد CSS أو JavaScript مخصصة على مواقع الضحية.

ذو صلة > متصفح Arc يتوفر على ويندوز 11 رسميًا

استجابة الشركة:

• إصلاح الثغرة في غضون يوم من اكتشافها.
• تأكيد عدم تأثر أي مستخدم وفقًا لسجلات الشركة.
• إعلان عن تحسينات أمنية شاملة:
  • إطلاق برنامج مكافآت الأخطاء.
  • التخلي عن استخدام Firebase.
  • تعطيل JavaScript المخصص في الـ “Boosts” المتزامنة.
  • توظيف موظفين إضافيين للأمن.

المصدر