8月下旬、人気のMacブラウザ「Arc」を開発するThe Browser Companyは、ブラウザに深刻なセキュリティ脆弱性があることを認識しました。この脆弱性は、他のユーザーのコンピュータ上で直接操作することなくリモートコード実行を許すものでした。同社は警告を受け、速やかにパッチを適用し、脆弱性の詳細は先週公表されました。
9月28日更新:わずか1週間で、The Browser Companyはセキュリティ上の欠陥への対応を完了しました。The Browser CompanyのCEO、ジョシュ・ミラー氏は金曜日にツイートを投稿し、行ったすべての変更点の概要を説明しました。これには、約束していたバグ報奨金プログラム、新しいセキュリティ情報、そしてセキュリティ手順に関するその他の社内変更が含まれます。
さらに、xyz3vaへの報奨金は2,000ドルから20,000ドルに増額され、CEOは興味があれば直接仕事を提供すると申し出ました。元記事は以下です。
事件
ブラウザ会社(The Browser Company)は、この脆弱性がユーザーに影響を与えていないことを確認しており、Arcのセキュリティを維持するためにアップデートする必要はないとしています。同社は、今回の脆弱性は「Arcの発売以来初の深刻なセキュリティインシデント」であると述べています。
セキュリティ研究者のxyz3va氏がArcに非公開で報告しており、興味があれば問題に関する彼らのレポート全文を読むことができます。Arcには基本的に「Boost」と呼ばれる機能があり、ユーザーは独自のCSSとJavaScriptを使ってウェブサイトをカスタマイズできます。ArcはカスタムJavaScriptの共有にはリスクがあることを認識していたため、カスタムJavaScriptを含むBoostの共有を公式に許可していませんでした。しかし、今回のエクスプロイトは、そのシステムの抜け穴を突いたものでした。
Arcは基本的に、JavaScriptを使ったカスタムブーストをサーバーに保存し、デバイス間で同期できるようにしていました。Arcは特定の機能のバックエンドとしてFirebaseを使用していましたが、Firebaseの設定ミスにより、ブースト作成後にユーザーがブーストのcreatorIDを変更できる状態になっていました。
これは問題です。別のユーザーのIDを取得できれば、ブーストに関連付けられたIDを変更でき、そのブーストがそのユーザーのコンピューターに同期されてしまうからです。これは良くありません。
他の人のユーザー ID を取得する方法はいくつかあります。たとえば、次のとおりです。
- ユーザーIDを含む紹介を取得する
- ブーストを公開したかどうかを確認します。ブーストにはユーザーIDも含まれています。
- 誰かの共有イーゼル(基本的にはホワイトボード)を見て、ユーザーIDも取得できる
改めて強調しておきたいのは、この脆弱性が実際に悪用されたことは一度もないということです。しかし、事態が悪化する可能性はありました。The Browser Companyは、今後の問題を軽減するための対策を現在も講じています。
どのように対処しているか
今後、同期されたブーストではJavaScriptがデフォルトで無効化され、同様の攻撃の発生を防止します。今後、他のデバイスではカスタムJavaScriptを明示的に有効化する必要があります。
さらに、新しい機能や製品については Firebase から移行する予定であり、Arc のリリース ノートにセキュリティ軽減策を追加して、透明性をさらに高める予定です。
また、セキュリティチームにさらに人員を追加する予定で、最近新しいセキュリティエンジニアを採用しました。
この問題を報告した研究者には2,000ドルのセキュリティ報奨金が支払われました。これはThe Browser Companyが従来行ってきたことではありませんでした。しかし、今後は報奨金に関するプロセスをより明確にしたいと考えています。
マイケルをフォロー: X/Twitter、Threads、Instagram
skinessind.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
