كشف باحث أمني عن ثغرة “كارثية” في متصفح آرك (Arc) كانت تسمح للمهاجمين بإدخال أكواد برمجية عشوائية في جلسات تصفح المستخدمين الآخرين باستخدام معرّف المستخدم فقط.
تفاصيل الثغرة:
- أُصلحت في 26 أغسطس وكُشف عنها اليوم.
- تحمل رمز CVE-2024-45489.
- نتجت عن خطأ في تكوين خدمة Firebase المستخدمة لتخزين معلومات المستخدمين.
- تؤثر على ميزة “Arc Boosts” لتخصيص مظهر المواقع.
آلية عمل الثغرة:
- إمكانية تغيير معرّف منشئ الـ “Boost” بعد إنشائه.
- إضافة أي “Boost” لأي مستخدم باستخدام معرّفه.
- تنفيذ أكواد CSS أو JavaScript مخصصة على مواقع الضحية.
ذو صلة > متصفح Arc يتوفر على ويندوز 11 رسميًا
استجابة الشركة:
- إصلاح الثغرة في غضون يوم من اكتشافها.
- تأكيد عدم تأثر أي مستخدم وفقًا لسجلات الشركة.
- إعلان عن تحسينات أمنية شاملة:
- إطلاق برنامج مكافآت الأخطاء.
- التخلي عن استخدام Firebase.
- تعطيل JavaScript المخصص في الـ “Boosts” المتزامنة.
- توظيف موظفين إضافيين للأمن.