Arc

ブラウザ・カンパニーは、セキュリティ研究者がプロジェクトに脆弱性を報告し、報奨金を受け取ることを奨励するArc Bug Bounty Programを導入した。

この開発は、CVE-2024-45489として追跡されている、脅威行為者がプログラムのユーザーに対して大規模な攻撃を仕掛けることを可能にする重大なリモートコード実行の欠陥に対応するものである。

この欠陥により、攻撃者はArcが認証とデータベース管理にFirebaseを使用する方法を悪用し、ターゲットのブラウザ上で任意のコードを実行することが可能になった。

ある研究者は、「Boosts」(ユーザーが作成したカスタマイズ)機能において、ユーザーがウェブサイトを訪問した際にJavaScriptを使用して修正することを可能にする、彼らが「壊滅的」と表現する欠陥を発見した。

研究者は、Boostsの作成者IDを他人のIDに変更するだけで、悪意のあるJavaScriptコードを他のユーザーのブラウザで実行させることができることを発見した。そのArc Browserユーザーがサイトを訪問すると、攻撃者が作成した悪意のあるコードが起動する。

この欠陥はかなり長い間ブラウザ上に存在していましたが、研究者が責任を持ってArcチームに開示した翌日の2024年8月26日に速やかに対処され、2,000ドルが授与されました。

Arcバグ報奨金プログラム

ブラウザカンパニーが発表したバグ報奨金プログラムは、macOSとWindowsのArcとiOSプラットフォームのArc Searchを対象としている。

報奨金は、発見された欠陥の重大性に応じて、以下の4つのカテゴリーに分類される:

  • クリティカル:システム全体へのアクセスまたは重大な影響を及ぼすエクスプロイト(ユーザーによる操作が不要なものなど)。報酬:10,000~20,000ドル
  • :セッションの完全性を損なう、機密データを暴露する、またはシステム乗っ取りを可能にする深刻な問題(特定のブラウザ拡張機能の悪用を含む)。報酬:2,500ドル~10,000ドル
  • 中程度:複数のタブに影響する脆弱性、限定的なセッション/データへの影響、または機密情報への部分的なアクセス(ユーザーによる操作が必要な場合がある)。報酬:500ドル~2,500ドル
  • Low(低):重大なユーザーインタラクションを必要とする軽微な問題、または範囲が限定された問題(例:安全でないデフォルト、悪用されにくいバグ)。報酬最大500ドル

アークの報奨金プログラムの詳細は、こちらをご覧ください。

CVE-2024-45489について、Arcチームは最新のアナウンスで、JavaScriptによるBoostの自動同期を無効にし、9月26日にリリースされた最新バージョンArc 1.61.2ではBoost関連の機能をすべてオフにするトグルが追加されたことを指摘しています。

また、外部の監査専門家による監査が進行中であり、Arcのバックアップシステムを対象とする予定である。

組織全体のBoostを無効にする新しいMDM設定オプションは、今後数週間のうちにリリースされる予定である。

The Browser Companyによると、監査とレビューに重点を置いた新しいコーディングガイドラインが作成され、インシデント対応プロセスがより効果的になるよう見直され、新しいセキュリティチームメンバーが間もなく入社する予定だという。

1年あまり前にリリースされたArcは、その革新的なユーザー・インターフェース・デザイン、カスタマイズ・オプション、uBlock Originとの統合、そしてスピーディーなパフォーマンスにより、瞬く間に人気を博した。脅威行為者は、このブラウザーの人気を利用して、Windowsユーザーに マルウェアを押し付けることさえした。