„Browser Company“ pristatė „Arc Bug Bounty“ programą, siekdama paskatinti saugumo tyrinėtojus pranešti apie projekto pažeidžiamumą ir gauti atlygį.
Šis kūrimas vyksta kaip atsakas į kritinį nuotolinio kodo vykdymo trūkumą, pažymėtą CVE-2024-45489, dėl kurio grėsmės veikėjai galėjo pradėti masines atakas prieš programos vartotojus.
Trūkumas leido užpuolikams išnaudoti, kaip „Arc“ naudoja „Firebase“ autentifikavimui ir duomenų bazei valdyti, kad vykdytų savavališką kodą taikinio naršyklėje.
Tyrėjas aptiko, kaip jie apibūdina, „katastrofišką“ funkcijos „Boosts“ (vartotojo sukurtų tinkinimų) trūkumą, leidžiančią vartotojams naudoti „JavaScript“, kad pakeistų svetainę, kai ji lankosi.
Tyrėjas išsiaiškino, kad jie gali sukelti kenkėjiško JavaScript kodo paleidimą kitų vartotojų naršyklėse tiesiog pakeitus Boosts kūrėjo ID į kito asmens ID. Kai šis „Arc Browser“ vartotojas apsilankė svetainėje, jis paleis užpuoliko sukurtą kenkėjišką kodą.
Nors šis trūkumas naršyklėje buvo gana ilgą laiką, jis buvo nedelsiant pašalintas 2024 m. rugpjūčio 26 d., kitą dieną po to, kai tyrėjas atsakingai atskleidė jį „Arc“ komandai, už ką jiems buvo skirta 2000 USD.
„Arc Bug Bounty“ programa
„Browser Company“ paskelbta klaidų programa apima „Arc“ „MacOS“ ir „Windows“ bei „Arc Search“ iOS platformoje.
Nustatyti išmokėjimai gali būti apibendrinti į šias keturias pagrindines kategorijas, atsižvelgiant į aptiktų trūkumų sunkumą:
- Kritinis: visa prieiga prie sistemos arba išnaudojimai, turintys didelį poveikį (pvz., nereikia vartotojo sąveikos). Atlygis: 10 000–20 000 USD
- Aukštas: rimtos problemos, pažeidžiančios seanso vientisumą, atskleidžiančios neskelbtinus duomenis arba įgalinančios sistemos perėmimą (įskaitant tam tikrus naršyklės plėtinių išnaudojimus). Atlygis: 2500–10 000 USD
- Vidutinis: pažeidžiamumas, turintis įtakos keliems skirtukams, ribotas seanso / duomenų poveikis arba dalinė prieiga prie neskelbtinos informacijos (gali prireikti naudotojo sąveikos). Atlygis: 500–2500 USD
- Žemas: nedidelės problemos, kurioms reikia didelės vartotojo sąveikos arba kurios yra ribotos (pvz., nesaugūs numatytieji nustatymai, sunkiai išnaudojamos klaidos). Atlygis: iki 500 USD
Daugiau informacijos apie Arc's Bounty programą rasite čia.
Kalbant apie CVE-2024-45489, „Arc“ komanda savo naujausiame pranešime pažymi, kad automatinis „Boosts“ sinchronizavimas su „JavaScript“ buvo išjungtas, o naujausioje „Arc 1.61.2“ versijoje buvo pridėtas jungiklis, leidžiantis išjungti visas su „Boost“ susijusias funkcijas. išleistas rugsėjo 26 d.
Be to, šiuo metu atliekamas išorės audito eksperto atliekamas auditas, kuris apims „Arc“ palaikomas sistemas.
Per ateinančias savaites bus išleista nauja MDM konfigūracijos parinktis, leidžianti išjungti „Boost“ visoms organizacijoms.
„Browser Company“ teigia, kad dabar yra parengtos naujos kodavimo gairės, kuriose daugiau dėmesio skiriama auditui ir peržiūrai, jos reagavimo į incidentus procesas atnaujinamas siekiant didesnio efektyvumo, o nauji saugos komandos nariai netrukus bus pasveikinti.
Prieš kiek daugiau nei metus pristatytas „Arc“ greitai išpopuliarėjo dėl naujoviško vartotojo sąsajos dizaino, tinkinimo parinkčių, „uBlock Origin“ integracijos ir greito veikimo. Grėsmių aktoriai netgi pasinaudojo naršyklės populiarumu, kad „Windows“ vartotojams pateiktų kenkėjiškas programas.
