Tarayıcı Şirketi, güvenlik araştırmacılarını projedeki güvenlik açıklarını bildirmeye ve ödüller almaya teşvik etmek için bir Arc Bug Ödül Programı başlattı.
Bu gelişme, CVE-2024-45489 olarak takip edilen ve tehdit aktörlerinin programın kullanıcılarına karşı büyük ölçekli saldırılar başlatmasına olanak tanıyan kritik bir uzaktan kod yürütme hatasına yanıt olarak geldi.
Bu kusur, saldırganların Arc’ın kimlik doğrulama ve veri tabanı yönetimi için Firebase’i kullanarak hedefin tarayıcısında rastgele kod yürütme biçiminden yararlanmasına olanak tanıdı.
Bir araştırmacı, kullanıcıların bir web sitesi ziyaret edildiğinde değişiklik yapmak için JavaScript kullanmasına olanak tanıyan “Artırmalar” (kullanıcı tarafından oluşturulan özelleştirmeler) özelliğinde “yıkıcı” olarak tanımladıkları bir kusur buldu.
Araştırmacı, Boosts’un yaratıcı kimliğini başka bir kişinin kimliğiyle değiştirerek, diğer kullanıcıların tarayıcılarında kötü amaçlı JavaScript kodunun çalışmasına neden olabileceklerini buldu. Arc Tarayıcı kullanıcısı siteyi ziyaret ettiğinde, saldırgan tarafından oluşturulan kötü amaçlı kodu başlatıyordu.
Kusur tarayıcıda bir süredir mevcut olmasına rağmen, 26 Ağustos 2024’te, araştırmacının bunu Arc ekibine sorumlu bir şekilde açıklamasından bir gün sonra derhal giderildi ve bunun karşılığında kendilerine 2.000 ABD Doları ödül verildi.
Arc Bug Ödül Programı
Tarayıcı Şirketi tarafından duyurulan hata ödül programı, macOS ve Windows’ta Arc’ı ve iOS platformunda Arc Search’ü kapsıyor.
Belirlenen ödemeler, keşfedilen kusurların ciddiyetine bağlı olarak aşağıdaki dört ana kategoride özetlenebilir:
- Kritik: Tam sistem erişimi veya önemli etkiye sahip istismarlar (örneğin, kullanıcı etkileşimi gerekmez). Ödül: 10.000 $ – 20.000 $
- Yüksek: Oturum bütünlüğünü tehlikeye atan, hassas verilerin ifşa edilmesine veya sistemin ele geçirilmesine olanak sağlayan ciddi sorunlar (belirli tarayıcı uzantısı istismarları dahil). Ödül: 2.500 $ – 10.000 $
- Orta: Birden fazla sekmeyi etkileyen güvenlik açıkları, sınırlı oturum/veri etkisi veya hassas bilgilere kısmi erişim (kullanıcı etkileşimi gerektirebilir). Ödül: 500 $ – 2.500 $
- Düşük: Önemli kullanıcı etkileşimi gerektiren veya kapsamı sınırlı olan küçük sorunlar (örneğin, güvenli olmayan varsayılanlar, kötüye kullanılması zor hatalar). Ödül: 500$’a kadar
Arc’ın Ödül Programı hakkında daha fazla ayrıntıyı burada bulabilirsiniz.
CVE-2024-45489 ile ilgili olarak Arc ekibi, en son duyurusunda Boost’ların JavaScript ile otomatik senkronizasyonunun devre dışı bırakıldığını ve en son sürüm olan Arc 1.61.2’ye Boost ile ilgili tüm özellikleri kapatmaya yönelik bir geçiş özelliğinin eklendiğini belirtiyor. 26 Eylül’de yayınlandı.
Ayrıca, harici bir denetim uzmanı tarafından yürütülen bir denetim de sürüyor ve bu denetim Arc’ın desteklediği sistemleri kapsayacak.
Önümüzdeki haftalarda, tüm kuruluşlar için Takviyeleri devre dışı bırakacak yeni bir MDM yapılandırma seçeneği yayınlanacaktır.
Tarayıcı Şirketi, denetim ve incelemeye daha fazla odaklanan yeni kodlama yönergelerinin artık oluşturulduğunu, olay müdahale sürecinin daha etkili olması için yenilendiğini ve yeni güvenlik ekibi üyelerinin yakında aramıza kabul edileceğini söylüyor.
Bir yıldan biraz daha uzun bir süre önce piyasaya sürülen Arc, yenilikçi kullanıcı arayüzü tasarımı, kişiselleştirme seçenekleri, uBlock Origin entegrasyonu ve hızlı performansı sayesinde hızla popülerlik kazandı. Tehdit aktörleri, kötü amaçlı yazılımları Windows kullanıcılarına göndermek için tarayıcının popülerliğini bile kullandı.