一位安全研究人员透露,Arc浏览器存在一个“灾难性”漏洞,攻击者可以在其他用户的浏览器会话中插入任意代码,而只需一个容易找到的用户ID。该漏洞已于8月26日修补,并于今天在安全研究人员xyz3va的一篇博客文章以及浏览器公司的一份声明中披露。该公司表示,其日志显示没有用户受到该漏洞的影响。
该漏洞名为CVE-2024-45489,它依赖于浏览器公司在实现Firebase时的一个错误配置。Firebase是一种“数据库即后端服务”,用于存储用户信息,包括Arc boost,一种允许用户自定义访问网站外观的功能。
浏览器公司在声明中写道:
Arc有一个名为boost的功能,允许您使用自定义CSS和Javascript自定义任何网站。由于在网站上运行任意Javascript存在潜在的安全问题,我们选择不让带有自定义Javascript的boost在成员之间共享,但我们仍然将它们同步到我们的服务器上,以便您可以在各种设备上使用自己的boost。
我们使用Firebase作为某些Arc功能的后端(详见下文),并使用它来持久化boost,以便跨设备共享和同步。不幸的是,我们的Firebase acl(访问控制列表,Firebase保护端点的方式)配置错误,这允许用户在创建Boost后更改Firebase请求的creatatorid。这允许任何Boost被分配给任何用户(只要你有他们的userID),从而为他们激活它,导致自定义CSS或JS在网站上运行的Boost是活跃的。
或者,用xyz3va的话来说,
Arc boost可以包含任意的javascript
电弧增益储存在firestore中
arc浏览器通过creatatorid字段获得要使用的boost
我们可以任意地将creatorID字段更改为任何用户id
你可以通过几种方式获得某人的creatatorid,包括推荐链接、共享画架和公开共享的boost。有了这些信息,攻击者可以在其中创建一个带有任意代码的boost,并将其添加到受害者的Arc帐户中,而无需受害者采取任何行动。这是不好的。
浏览器公司反应迅速——xyz3va向联合创始人Hursh Agrawal报告了这个漏洞,并在几分钟内进行了演示,并在半小时内被添加到Slack公司。该漏洞在第二天得到了修补,该公司的声明详细列出了正在实施的一系列安全改进措施,包括建立一个漏洞赏金计划,退出Firebase,禁用同步boost上的自定义Javascript,以及雇佣更多的安全人员。
