研究人员发现 Arc 浏览器存在“灾难性”安全漏洞

Arc 有一项名为“Boost”的功能,允许用户使用自定义 CSS 和 JavaScript 对任何网站进行定制。 由于在网站上运行任意 JavaScript 代码存在潜在的安全问题,我们选择不将带有自定义 JavaScript 代码的 Boost 分享给其他用户。 但是,我们仍然将它们同步到我们的服务器,以便您自己的 Boost 在不同的设备上都能使用。

我们使用 Firebase 作为 Arc 某些功能的后端(关于这方面的更多信息请见下方),并使用它来持久化 Boost,以便跨设备进行共享和同步。 不幸的是,我们的 Firebase ACL(访问控制列表,Firebase 用于保护端点的方式)配置错误,这允许用户进行 Firebase 请求,在 Boost 创建后更改其 creatorID。 这允许任何 Boost 被分配给任何用户(只要您拥有他们的 userID),从而为他们激活 Boost,导致自定义 CSS 或 JS 在 Boost 活动的网站上运行。

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,可联系本站进行二次审核删除:fireflyrqh@163.com。
Like (0)
Previous 2024年9月21日 上午1:40
Next 2024年9月21日 上午5:08

相关推荐