La société de navigateurs a mis en place un programme de primes aux bogues Arc pour encourager les chercheurs en sécurité à signaler les vulnérabilités du projet et à recevoir des récompenses.

Ce développement intervient en réponse à une faille critique d’exécution de code à distance, identifiée sous le numéro CVE-2024-45489, qui aurait pu permettre aux auteurs de menaces de lancer des attaques à grande échelle contre les utilisateurs du programme.

La faille permettait aux attaquants d’exploiter la façon dont Arc utilise Firebase pour l’authentification et la gestion de la base de données afin d’exécuter du code arbitraire sur le navigateur d’une cible.

Un chercheur a découvert ce qu’il décrit comme une faille « catastrophique » dans la fonctionnalité « Boosts » (personnalisations créées par l’utilisateur) qui permet aux utilisateurs d’utiliser JavaScript pour modifier un site Web lorsqu’il est visité.

Le chercheur a découvert qu’ils pouvaient provoquer l’exécution de code JavaScript malveillant dans les navigateurs d’autres utilisateurs simplement en remplaçant l’identifiant du créateur d’un Boosts par l’IDENTIFIANT d’une autre personne. Lorsque cet utilisateur du navigateur Arc visitait le site, il lançait le code malveillant créé par un attaquant.

Bien que la faille soit présente sur le navigateur depuis un certain temps, elle a été rapidement corrigée le 26 août 2024, un jour après que le chercheur l’a divulguée de manière responsable à l’équipe de l’Arc, pour laquelle ils ont reçu 2 000$.

Programme de Primes aux Bogues Arc
Le programme de primes aux bogues annoncé par la société de navigateurs couvre Arc sur macOS et Windows et Arc Search sur la plate-forme iOS.

Les paiements définis peuvent être résumés dans les quatre catégories principales suivantes, en fonction de la gravité des failles découvertes:

  • Critique: Accès complet au système ou exploits ayant un impact significatif (par exemple, aucune interaction de l’utilisateur requise). Récompense: 10 000 – – 20 000 $
  • Élevé: Problèmes graves compromettant l’intégrité de la session, exposant des données sensibles ou permettant la prise de contrôle du système (y compris certains exploits d’extension de navigateur). Récompense: 2 500 – – 10 000 $
  • Moyen: Vulnérabilités affectant plusieurs onglets, impact limité sur la session/les données ou accès partiel aux informations sensibles (peut nécessiter une interaction de l’utilisateur). Récompense: 500 – – 2 500 $
  • Faible: Problèmes mineurs nécessitant une interaction significative de l’utilisateur ou de portée limitée (par exemple, valeurs par défaut non sécurisées, bogues difficiles à exploiter). Récompense: Jusqu’à 500 $

Concernant CVE-2024-45489, l’Arc de l’équipe de notes dans sa dernière annonce que l’auto-synchronisation de la Booste avec JavaScript a été désactivé, et une option pour désactiver toutes les Boost liés à la fonctionnalité a été ajoutée sur l’Arc 1.61.2, la dernière version publiée le 26 septembre.

Aussi, un audit effectué par un audit externe d’experts est en cours et permettra de couvrir Arc adossés à des systèmes.

Une nouvelle MDM option de configuration pour désactiver le turbo pour toute l’entreprise sera publié dans les semaines à venir.

La société de navigateurs affirme que de nouvelles directives de codage axées sur l’audit et la révision sont désormais élaborées, que son processus de réponse aux incidents est en cours de refonte pour une meilleure efficacité et que les nouveaux membres de l’équipe de sécurité seront bientôt les bienvenus.

Lancé il y a un peu plus d’un an, Arc a rapidement gagné en popularité grâce à sa conception d’interface utilisateur innovante, ses options de personnalisation, l’intégration d’uBlock Origin et ses performances rapides. Les auteurs de menaces ont même utilisé la popularité du navigateur pour transmettre des logiciels malveillants aux utilisateurs de Windows.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *