Η Εταιρεία Browser έχει εισαγάγει ένα πρόγραμμα Arc Bug Bounty για να ενθαρρύνει τους ερευνητές ασφάλειας να αναφέρουν ευπάθειες στο έργο και να λαμβάνουν ανταμοιβές.
Αυτή η εξέλιξη έρχεται ως απάντηση σε ένα κρίσιμο ελάττωμα απομακρυσμένης εκτέλεσης κώδικα, το οποίο παρακολουθείται ως CVE-2024-45489, το οποίο θα μπορούσε να έχει επιτρέψει στους παράγοντες απειλών να εξαπολύσουν επιθέσεις μαζικής κλίμακας εναντίον των χρηστών του προγράμματος.
Το ελάττωμα επέτρεψε στους εισβολείς να εκμεταλλευτούν τον τρόπο με τον οποίο το Arc χρησιμοποιεί το Firebase για έλεγχο ταυτότητας και διαχείριση βάσης δεδομένων για την εκτέλεση αυθαίρετου κώδικα στο πρόγραμμα περιήγησης ενός στόχου.
ΕΝΑ βρήκε ερευνητής αυτό που περιγράφουν ως “καταστροφικό” ελάττωμα στη λειτουργία “Boosts” (προσαρμογές που δημιουργούνται από τον χρήστη) που επιτρέπει στους χρήστες να χρησιμοποιούν JavaScript για να τροποποιούν έναν ιστότοπο όταν τον επισκέπτονται.
Ο ερευνητής διαπίστωσε ότι θα μπορούσαν να προκαλέσουν την εκτέλεση κακόβουλου κώδικα JavaScript σε προγράμματα περιήγησης άλλων χρηστών, απλώς αλλάζοντας το αναγνωριστικό δημιουργού του Boost σε αναγνωριστικό άλλου ατόμου. Όταν αυτός ο χρήστης του Arc Browser επισκεπτόταν τον ιστότοπο, θα εκκινούσε τον κακόβουλο κώδικα που δημιουργήθηκε από έναν εισβολέα.
Αν και το ελάττωμα υπήρχε στο πρόγραμμα περιήγησης για αρκετό καιρό, ήταν αντιμετωπιστεί άμεσα στις 26 Αυγούστου 2024, μια μέρα αφότου ο ερευνητής το αποκάλυψε υπεύθυνα στην ομάδα του Arc, για το οποίο βραβεύτηκαν 2.000 $.
Πρόγραμμα Bounty Arc Bug
Το πρόγραμμα bounty bug ανακοινώθηκε από την Εταιρεία Browser καλύπτει το Arc σε macOS και Windows και το Arc Search στην πλατφόρμα iOS.
Οι καθορισμένες πληρωμές μπορούν να συνοψιστούν στις ακόλουθες τέσσερις κύριες κατηγορίες, ανάλογα με τη σοβαρότητα των ελαττωμάτων που ανακαλύφθηκαν:
- Κρίσιμος: Πλήρης πρόσβαση στο σύστημα ή εκμεταλλεύσεις με σημαντικό αντίκτυπο (π.χ. δεν απαιτείται αλληλεπίδραση με τον χρήστη). Ανταμοιβή: $10.000 – $20.000
- Ψηλά: Σοβαρά ζητήματα που διακυβεύουν την ακεραιότητα της περιόδου σύνδεσης, την έκθεση ευαίσθητων δεδομένων ή την ενεργοποίηση της ανάληψης συστήματος (συμπεριλαμβανομένων ορισμένων εκμεταλλεύσεων επέκτασης προγράμματος περιήγησης). Ανταμοιβή: $2.500 – $10.000
- Μέσον: Ευπάθειες που επηρεάζουν πολλές καρτέλες, περιορισμένη επίδραση περιόδου σύνδεσης/δεδομένων ή μερική πρόσβαση σε ευαίσθητες πληροφορίες (ενδέχεται να απαιτούν αλληλεπίδραση με τον χρήστη). Ανταμοιβή: $500 – $2.500
- Χαμηλός: Μικρά ζητήματα που απαιτούν σημαντική αλληλεπίδραση με τον χρήστη ή περιορισμένο εύρος (π.χ. ανασφαλείς προεπιλογές, σφάλματα που είναι δύσκολο να εκμεταλλευτούν). Ανταμοιβή: Έως $500
Περισσότερες λεπτομέρειες σχετικά με το πρόγραμμα Bounty της Arc είναι διαθέσιμο εδώ.
Όσον αφορά το CVE-2024-45489, η ομάδα Arc σημειώνει στην τελευταία της ανακοίνωση ότι ο αυτόματος συγχρονισμός των Boosts με JavaScript έχει απενεργοποιηθεί και έχει προστεθεί μια εναλλαγή για την απενεργοποίηση όλων των λειτουργιών που σχετίζονται με το Boost. Arc 1.61.2, η τελευταία έκδοση που κυκλοφόρησε στις 26 Σεπτεμβρίου.
Επίσης, βρίσκεται σε εξέλιξη έλεγχος που διενεργείται από εξωτερικό εμπειρογνώμονα ελεγκτών και θα καλύψει τα υποστηριζόμενα συστήματα της Arc.
Μια νέα επιλογή διαμόρφωσης MDM για την απενεργοποίηση των Boosts για ολόκληρους οργανισμούς θα κυκλοφορήσει τις επόμενες εβδομάδες.
Η Εταιρεία Browser λέει ότι έχουν δημιουργηθεί νέες οδηγίες κωδικοποίησης με αυξημένη εστίαση στον έλεγχο και την αναθεώρηση, η διαδικασία απόκρισης περιστατικών ανανεώνεται για καλύτερη αποτελεσματικότητα και σύντομα θα γίνουν δεκτά νέα μέλη της ομάδας ασφαλείας.
Το Arc που κυκλοφόρησε λίγο περισσότερο από ένα χρόνο πριν, κέρδισε γρήγορα δημοτικότητα χάρη στον καινοτόμο σχεδιασμό διεπαφής χρήστη, τις επιλογές προσαρμογής, την ενσωμάτωση uBlock Origin και την γρήγορη απόδοση. Οι φορείς απειλών χρησιμοποίησαν ακόμη και τη δημοτικότητα του προγράμματος περιήγησης για να προωθήσουν κακόβουλο λογισμικό στους χρήστες των Windows.
VIA: bleepingcomputer.com
