Популярный Mac-браузер Arc нашел у себя серьезную уязвимость
Уязвимость была связана с функцией Arc «Boost», которая позволяет пользователям настраивать веб-сайты с помощью CSS и JavaScript. Хотя компания ранее ограничивала доступ к «бустам», содержащим пользовательский JavaScript, лазейка в конфигурации бэкенда Firebase позволяла пользователям изменять идентификатор создателя буста после его создания. Это потенциально могло позволить злоумышленникам синхронизировать буст с устройством другого пользователя, если они получали его идентификатор пользователя различными способами.
Для повышения безопасности The Browser Company по умолчанию отключила JavaScript в синхронизированных бустах, требуя от пользователей явного включения на других устройствах. Кроме того, компания планирует отказаться от использования Firebase для новых функций и усилить свою команду безопасности.