ثغرة أمنية خطيرة في متصفح Arc تتيح التحكم في حسابات المستخدمين

كشف باحث أمني عن ثغرة “كارثية” في متصفح آرك (Arc) كانت تسمح للمهاجمين بإدخال أكواد برمجية عشوائية في جلسات تصفح المستخدمين الآخرين باستخدام معرّف المستخدم فقط.

تفاصيل الثغرة:

• أُصلحت في 26 أغسطس وكُشف عنها اليوم.
• تحمل رمز CVE-2024-45489.
• نتجت عن خطأ في تكوين خدمة Firebase المستخدمة لتخزين معلومات المستخدمين.
• تؤثر على ميزة “Arc Boosts” لتخصيص مظهر المواقع.

آلية عمل الثغرة:

• إمكانية تغيير معرّف منشئ الـ “Boost” بعد إنشائه.
• إضافة أي “Boost” لأي مستخدم باستخدام معرّفه.
• تنفيذ أكواد CSS أو JavaScript مخصصة على مواقع الضحية.

استجابة الشركة:

• إصلاح الثغرة في غضون يوم من اكتشافها.
• تأكيد عدم تأثر أي مستخدم وفقًا لسجلات الشركة.
• إعلان عن تحسينات أمنية شاملة:
  • إطلاق برنامج مكافآت الأخطاء.
  • التخلي عن استخدام Firebase.
  • تعطيل JavaScript المخصص في الـ “Boosts” المتزامنة.
  • توظيف موظفين إضافيين للأمن.

تابعنا على فايسبوك: “أنا الجزائر تك”