Sicherheitslücke im Arc Browser: Ein tiefer Einblick

VonJörn Schmidt
Arc Browser
Quelle: The Browser Company

The Browser Company, die Schöpfer des beliebten Mac-Browsers Arc, haben kürzlich eine potenziell schwerwiegende Sicherheitslücke in ihrer Software behoben.

Obwohl die Lücke nie ausgenutzt wurde, bietet dieser Vorfall eine wertvolle Gelegenheit, die Sicherheit von Browsern und die Bedeutung verantwortungsvoller Fehlermeldung zu diskutieren.

Was ist passiert?

Die Sicherheitslücke wurde von einem unabhängigen Forscher entdeckt und betraf die Boost-Funktion von Arc. Diese Funktion ermöglicht es Benutzern, Websites mithilfe von benutzerdefiniertem CSS und JavaScript anzupassen. Durch eine Fehlkonfiguration von Firebase, einer Backend-Plattform, konnten Angreifer potenziell die Benutzer-IDs anderer Nutzer manipulieren und somit Schadcode auf deren Geräten ausführen.

Wie konnte das passieren?

Das Problem lag in der Art und Weise, wie Arc benutzerdefinierte Boosts speicherte und synchronisierte. Obwohl das Teilen von JavaScript-basierten Boosts eigentlich nicht erlaubt war, gelang es Angreifern, diese Einschränkung zu umgehen.

Welche Maßnahmen wurden ergriffen?

The Browser Company hat schnell reagiert und die Lücke geschlossen. Konkret wurden folgende Maßnahmen ergriffen:

  • Deaktivierung von JavaScript in synchronisierten Boosts: Um zukünftige Angriffe zu verhindern, ist JavaScript in synchronisierten Boosts standardmäßig deaktiviert
  • Umstieg auf andere Firebase-Funktionen: Das Unternehmen plant, für neue Funktionen und Produkte von Firebase abzuweichen, um ähnliche Probleme in Zukunft zu vermeiden
  • Verbesserte Transparenz: Arc wird künftig detailliertere Sicherheitshinweise in den Versionshinweisen veröffentlichen
  • Ausbau des Sicherheitsteams: The Browser Company hat einen neuen Sicherheitsingenieur eingestellt und plant, das Team weiter zu verstärken
  • Bug Bounty Programm: Das Unternehmen überdenkt seine Politik bezüglich Bug Bounty-Programme und plant, in Zukunft mehr Sicherheitsexperten für die Meldung von Schwachstellen zu belohnen

Quelle(n):
9to5Mac

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Telegram, WhatsApp, Mastodon, Threads, Bluesky oder auf Facebook oder abonniere meinen RSS-Feed!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 8 Pro mit Android 14

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert