В браузере Arc найдена уязвимость, позволяющая взломать устройство пользователя

Разработчики популярного браузера Arc для Mac недавно обнаружили серьезную брешь в системе безопасности, которая позволяла злоумышленникам удаленно запускать вредоносный код на компьютерах пользователей.

Проблема была выявлена в конце августа и быстро устранена. Компания подтвердила, что ни один пользователь не пострадал от эксплуатации этой уязвимости.

Брешь была связана с функцией Arc «Boost», которая позволяет пользователям настраивать веб-сайты с помощью CSS и JavaScript. Несмотря на то, что компания ранее ограничивала доступ к «бустам», содержащим пользовательский JavaScript, ошибка конфигурации Firebase позволила пользователям изменять идентификатор создателя буста после его создания. Это давало злоумышленникам возможность синхронизировать буст с устройством другого пользователя, если им удавалось получить его идентификатор пользователя.

Чтобы повысить уровень безопасности, компания The Browser Company по умолчанию отключила JavaScript в синхронизированных бустах, теперь пользователям нужно явно включать его на других устройствах. Кроме того, компания планирует отказаться от использования Firebase для новых функций и усилить свою команду безопасности.

Ранее ITinfo сообщало, что мошенники придумали новую схему обмана, которая использует эмоциональную уязвимость людей. Они рассылают сообщения с фальшивыми доказательствами измены партнера, заманивая жертву на вредоносный сайт.