Хакер #305. Многошаговые SQL-инъекции
Разработчики браузера Arc, компания The Browser Company, объявили о запуске программы bug bounty, с помощью которой исследователи смогут сообщать об уязвимостях и получать за это вознаграждения. К этому шагу создателей браузера подтолкнуло недавнее обнаружение RCE-уязвимости CVE-2024-45489, которая позволяла злоумышленникам совершать массовые атаки на пользователей Arc.
Упомянутая уязвимость эксплуатировала тот факт, что Arc использует Firebase для аутентификации и управления БД. Проблема позволяла выполнять произвольный код в браузере пользователя.
Исследователь, обнаруживший эту проблему, называл ее «катастрофической» и сообщал, что она связана с функцией Boosts, которая позволяет пользователям Arc использовать JavaScript для изменения внешнего вида сайтов, а также делиться своими настройками Boosts с другими людьми.
Оказалось, что с помощью этой функциональности можно спровоцировать запуск вредоносного JavaScript-кода в браузерах других пользователей, просто изменив ID в Boosts на идентификатор другого человека. В результате, когда этот пользователь браузера Arc посещал конкретный сайт, выполнялся вредоносный код, подготовленный злоумышленником.
Проблема CVE-2024-45489 была устранена 26 августа 2024 года, через день после того, как исследователь сообщил о ней разработчикам Arc и получил за это 2000 долларов.
Теперь же The Browser Company сообщила о запуске собственной программы вознаграждения за обнаружение уязвимостей, которая распространяется на Arc для macOS и Windows, а также Arc Search для iOS.
Так, ИБ-специалисты смогут заработать до 500 долларов США за самые незначительные и неопасные баги в Arc, и до 20 000 долларов США за критические уязвимости, к примеру, позволяющие атакующим получить полный доступ к системе жертвы.
В своем сообщении команда Arc отмечает, что в связи с CVE-2024-45489 была отключена автосинхронизация Boosts с JavaScript, а в Arc новейшей версии (1.61.2), выпущенной 26 сентября, появилась возможность полного отключения всех функций, связанных с Boost. Также в ближайшие недели появится инструмент для отключения Boosts в масштабах организаций.
Кроме этого, сообщается, что внешние ИБ-специалисты уже проводят аудит, который затронет все системы Arc, а компания в настоящее время разрабатывает новые рекомендации для кодеров, процесс реагирования на инциденты пересматривается для повышения эффективности, и собственная команда безопасности The Browser Company скоро примет в свои ряды новых сотрудников.