Исследователь выявил «катастрофическую» уязвимость безопасности в браузере Arc
Исследователь безопасности обнаружил «катастрофическую» уязвимость в браузере Arc, которая позволяла злоумышленникам вставлять произвольный код в сеансы других пользователей, имея лишь их идентификатор.
Уязвимость была исправлена 26 августа.Журналы The Browser Company показывают, что ни один пользователь не был затронут уязвимостью.Эксплойт CVE-2024-45489 основывался на неправильной конфигурации в реализации Firebase, «базы данных как бэкенд-сервиса» для хранения информации о пользователях, включая Arc Boosts, функцию, которая позволяет им настраивать внешний вид посещаемых веб-сайтов.
В The Browser Company отметили: «В Arc есть функция под названием Boosts, которая позволяет настраивать любой веб-сайт с помощью пользовательских CSS и Javascript.
Читать на habr.com
