Arc Browser corrige brecha grave que permitia executar código remotamente

O CEO ¹ e cofundador da The Browser Company, Hursh, divulgou recentemente detalhes sobre uma vulnerabilidade (CVE-2024-45489) no Arc Browser, a qual possibilitava a execução remota de código nos computadores dos usuários. A brecha foi encontrada e reportada pelo pesquisador identificado como xyz3va, tendo sido corrigida em 26 de agosto pela empresa.

Segundo Hursh, a vulnerabilidade está relacionada ao recurso Boosts, o qual possibilita adotar CSS e JavaScript personalizados em qualquer site. Acontece que as ACLs ² do Firebase, usados para persistir os Boosts e permitir compartilhamento e sincronização, foram mal configuradas, permitindo aos usuários solicitar que o Firebase alterasse o creatorID de um Boost após ele ser criado.

Isso permitiu que qualquer Boost fosse atribuído a qualquer usuário (desde que você tivesse seu ID de usuário) e, assim, o ativasse para eles, levando as CSS ou os JS personalizados à execução no site em que o Boost estava ativo.

Em outras palavras, isso significa que invasores poderiam adotar código arbitrário em seções de terceiros apenas em posse do ID do usuário em questão, sem que ele necessariamente precise acessar qualquer site — algo que foi detalhado tecnicamente pelo pesquisador em seu blog.

A The Browser Company trabalhou ao lado de xyz3va para corrigir as ACLs e acabar com a vulnerabilidade — algo que foi feito já no dia seguinte à divulgação da brecha. Aparentemente, no entanto, nenhum membro do Arc foi afetado pela brecha, segundo indica uma análise dos registros de acesso do Firebase realizado pela empresa.

O Arc Browser também implementou uma série de mudanças visando evitar futuras vulnerabilidades, como desabilitar o JavaScript em Boosts sincronizados por padrão, trocar o Firebase por novos recursos e produtos e estabelecer diretrizes mais claras para recompensar quem descobrir brechas no app.

via The Verge

Notas de rodapé