یکی از متخصصان امنیت سایبری، آسیبپذیری خطرناکی در مرورگر Arc کشف کرده که میتواند به دسترسی غیرمجاز مهاجمان به اطلاعات کاربران منجر شود. این آسیبپذیری به مهاجمان اجازه میداد تا کدهای مخرب دلخواه را در بستر مرورگر کاربران اجرا کنند.
به گزارش کمیته رکن چهارم، این نقص امنیتی که در تاریخ ۲۶ آگوست برطرف شده و به تازگی به صورت عمومی اعلام شده است، از اشتباهی در تنظیمات پایگاه داده Firebase شرکت The Browser Company ناشی شده بود. این شرکت از Firebase برای ذخیره تنظیمات شخصیسازی وبسایتها در مرورگر Arc استفاده میکرد. مشکل امنیتی یادشده به مهاجمان این امکان را میداد که تنظیمات شخصی کاربران دیگر را تغییر داده و کدهای جاوااسکریپت مخرب را در وبسایتهای مختلف اجرا کنند.
یک منبع مطلع از این موضوع به کمیته گفت که با استفاده از شناسههای کاربری قابل دسترسی از طریق لینکهای ارجاع و اشتراکگذاری تنظیمات، مهاجم میتوانست تنظیمات مخربی را به حساب کاربری قربانی اضافه کند. هرچند تاکنون هیچ گزارشی از سوءاستفاده عملی از این نقص منتشر نشده است، تیم توسعه مرورگر Arc به سرعت این آسیبپذیری را رفع کرد.
شرکت The Browser Company نیز اعلام کرده است که علاوه بر برطرف کردن این مشکل، اقدامات جدیدی برای بهبود امنیت نرمافزار خود انجام خواهد داد. این اقدامات شامل برنامهای برای پاداشدهی به کشف آسیبپذیریها و غیرفعال کردن اجرای کدهای جاوااسکریپت در تنظیمات همگامسازی شده است.
