A The Browser Company bevezette az Arc Bug Bounty Programot abból a célból, hogy jutalmakkal ösztönözze a biztonsági kutatókat az Arc sérülékenységeinek jelentésére. Ez a fejlesztés válasz arra a kritikus távoli kódfuttatási hibára, ami a CVE-2024-45489 kódon nyomon követhető, és amely lehetővé tette a fenyegető szereplők számára, hogy nagyszabású támadásokat indítsanak a program felhasználói ellen. Ez a sérülékenység azt használta ki, hogy az Arc Firebase-t használja autentikációra és az adatbázisainak kezelésre, így lehetővé téve a célpont böngészőjében a tetszőleges kód futtatását.
Egy kutató általa kritikusnak titulált hibát talált a böngésző „Boosts” funkciójában. Ez a lehetőség egy felhasználók által készíthető egyedi megoldásokat lehetővé tévő funkció, aminek segítségével a meglátogatott weboldalakat a felhasználók a saját JavaScript kódjaikkal módosítva tudják megnyitni. A kutató arra lett figyelmes, hogy lehetséges volt más felhasználók böngészőjében úgy kártékony JavaScript kódot futtatni, hogy egyszerűen csak az adott Boost Creator ID-t írta át egy másik felhasználóhoz tartozó ID-re. Amikor a célpont böngészője megnyitotta az adott weboldalt, amihez a kártékony Boost készült, lefutott a káros kód.
Bár a hiba hosszabb ideig jelen volt a böngészőben, 2024. augusztus 26-án kijavították, egy nappal azután, hogy a kutató jelentette azt az Arc csapatának. Ezért 2000 dolláros jutalomban részesült.
A Bug Bounty Program
A The Browser Company által bejelentett bug bounty programban macOS és Windows rendszereken az Arc böngésző sérülékenységeiért lehet jutalmat kapni, illetve iOS platformon az Arc Search-ért.
A jutalmak négy fő kategóriába sorolhatók a felfedezett hibák súlyossága alapján:
- Kritikus: Teljes rendszerszintű hozzáférés vagy nagy hatású exploitok (például, ha nincs szükség felhasználói interakcióra). Jutalom: $10,000 – $20,000
- Magas: Súlyos problémák, amelyek a munkamenet integritását veszélyeztetik, érzékeny adatokat tesznek elérhetővé, vagy a rendszer átvételét (beleértve bizonyos bővítmények hibáit is). Jutalom: $2,500 – $10,000
- Közepes: Több tabon átívelő sebezhetőségek, amelyek hatásai visszafogottnak tekinthetők vagy csak korlátozottan biztosítanak hozzáférést szenzitív adatokhoz (felhasználói interakció szükséges). Jutalom: $500 – $2,500
- Alacsony: Kisebb problémák, amelyek jelentős felhasználói interakciót igényelnek, (pl. nem biztonságos alapbeállításokat, vagy nehezen kihasználható hibák). Jutalom: Akár $500
További részletek az Arc Bug Bounty Programról itt érhetők el.
A CVE-2024-45489 kapcsán az Arc csapat jelezte, hogy a Boosts automatikus JavaScript szinkronizálását letiltották, és lehetővé vált az összes Boost funkció kikapcsolása is. Ezen felül külső auditor által végzett ellenőrzés is zajlik, kutatva az Arc háttérrendszereinek lehetséges hibáit.
Egy új MDM konfigurációs lehetőség is hamarosan elérhető lesz, amely lehetővé teszi a Boosts funkciók kikapcsolását egész szervezetek számára.
