متصفح Arc الشهير يعمل على حل ثغرة أمنية خطيرة

في أواخر أغسطس، حددت شركة The Browser Company، الشركة التي تقف وراء متصفح Arc الشهير لنظام التشغيل Mac، ثغرة أمنية خطيرة في المتصفح تسمح بتنفيذ تعليمات برمجية عن بعد على أجهزة المستخدمين الآخرين دون تفاعل مباشر. وعلى الرغم من أن الشركة قامت بتصحيح الثغرة سريعًا بعد تنبيهها، إلا أنه من المهم معرفة تفاصيل هذا التهديد. ووفقا لشركة The Browser، فإن هذا الثغرة الأمنية لم تؤثر على أي مستخدم حتى الآن ولا يلزم إجراء تحديث فوري لـ Arc لضمان الحماية. وأكدت الشركة أن هذا الحادث يمثل "أول قضية أمنية خطيرة في تاريخ  متصفح Arc".

قدم الباحث الأمني ​​xyz3va تقريرًا سريًا إلى Arc، مشيرًا إلى أن الثغرة الأمنية المكتشفة كانت مرتبطة بميزة Boost، والتي تتيح للمستخدمين تخصيص مواقع الويب الخاصة بهم باستخدام CSS وJavaScript الخاصة بهم. على الرغم من أن Arc قد أثبتت أن تبادل JavaScript المخصص يمكن أن يحمل مخاطر، إلا أنها لم تسمح رسميًا مطلقًا بتبادل Boost الذي يتضمن JavaScript مخصص. ومع ذلك، وجد المهاجم ثغرة أمنية في هذا النظام، مما يشكل خطرا محتملا.

باختصار، لا تزال Arc تستخدم JavaScript لتخزين التحسينات المخصصة على خوادمها للمزامنة بين الأجهزة. بالإضافة إلى ذلك، يستخدم Arc Firebase كواجهة خلفية لبعض الميزات، وتم العثور على تكوين غير صحيح يسمح للمستخدمين بتعديل معرف المنشئ الخاص بهم بعد إنشاء التحسين. وقد ولّد هذا الموقف ثغرة أمنية محتملة، لأنه إذا تمكن المستخدم من الحصول على هوية شخص آخر، فيمكنه تغييرها باستخدام هويته الخاصة ومزامنة التحسينات على جهاز المستخدم المذكور، وهو ما يمثل خطرًا جسيمًا.

لمعالجة هذه المشكلة، سيتم تعطيل JavaScript في Sync Boost افتراضيًا لمنع الهجمات المماثلة في المستقبل. وتخطط الشركة أيضًا لدمج Firebase في الميزات والمنتجات الجديدة، بالإضافة إلى تقديم إجراءات تخفيف الأمان في ملاحظات إصدار Arc لتوفير قدر أكبر من الشفافية. بالإضافة إلى ذلك، لديهم خطط لتوسيع فريقهم الأمني ​​وقاموا مؤخرًا بتعيين مهندس جديد متخصص في هذا المجال.

- بعد انتظار طويل .. تم إطلاق الآن متصفح Arc لنظام ويندوز 11