MDTech

servicios

El fallo de seguridad 'catastrófico' en el navegador Arc que preocupa a todos

El navegador Arc tiene una vulnerabilidad que expone a sus usuarios. Entérate de qué se trata.
Vulnerabilidades encontradas en el navegador Arc
Vulnerabilidades encontradas en el navegador Arc

Constanza Ferreyra

En un preocupante contexto de ciberataques y vulnerabilidades, un investigador de seguridad reveló una vulnerabilidad grave en el navegador Arc. Este fallo de seguridad podría haber permitido a los atacantes acceder a las sesiones de otros usuarios simplemente conociendo su ID de usuario.

Esta vulnerabilidad, conocida como CVE-2024-45489, fue parcheada el 26 de agosto de 2024. El investigador, conocido como xyz3va, explicó en un blog cómo la falla en la implementación de Firebase por parte de The Browser Company facilitaba este ataque. Afortunadamente, la empresa asegura que no hay evidencia de que la vulnerabilidad haya sido explotada.

El comunicado con el fallo dentro de Arc

De acuerdo a The Verge, el fallo se centraba en Arc Boosts, una función del navegador que permite a los usuarios personalizar sitios web con código CSS y Javascript. El problema radicaba en que, debido a una configuración incorrecta de las listas de control de acceso (ACL) en Firebase, los atacantes podían cambiar el ID de creador de un Boost, lo que les permitía ejecutar código arbitrario en el navegador de cualquier usuario. La forma de obtener estos IDs de usuario incluía enlaces compartidos o Boosts públicos, facilitando la explotación del fallo sin que la víctima necesitara realizar ninguna acción.

Lo que hace atractivo a Arc lo transforma en un navegador "peligroso"

En palabras de The Browser Company: "Dado que ejecutar Javascript arbitrario en sitios web puede generar problemas de seguridad, optamos por no permitir que los Boosts con Javascript personalizado se puedan compartir entre los miembros". A pesar de esta precaución, la vulnerabilidad expuso a los usuarios a posibles ataques.

Comparativamente, este fallo evidencia la fragilidad de los navegadores modernos que permiten una gran personalización. Aunque otros navegadores también enfrentan vulnerabilidades de seguridad, la naturaleza del exploit en Arc lo convierte en un riesgo particularmente severo. The Browser Company actuó con rapidez, solucionando el problema al día siguiente de ser notificado y tomando medidas adicionales, como desactivar Javascript personalizado en Boosts sincronizados y eliminar Firebase como backend.

 

Archivado en