Исследователь безопасности обнаружил уязвимость в приложении Arc, позволяющую выполнять произвольный JavaScript в браузерах других пользователей путем манипуляции полем creatorID.
«Уязвимость была сообщена, исправлена, и в течение дня была выплачена награда в размере $2000, позже был присвоен CVE (CVE-2024-45489).»
Arc ответил на озабоченность по поводу конфиденциальности, отключив Firebase и запустив программу вознаграждений за обнаружение уязвимостей для улучшения безопасности.
Компания Browser, создатели Arc, раскрыли значительную уязвимость, которая позволяла получить доступ к браузерам пользователей без посещения конкретного веб-сайта. Проблема была устранена, и ни один пользователь не пострадал.
Компания планирует отказаться от использования Firebase, запустить программу вознаграждений за обнаружение уязвимостей и укрепить свою команду по безопасности, включая найм нового старшего инженера по безопасности.
Инцидент вызвал обсуждения о достаточности вознаграждения в размере $2,000 за обнаружение уязвимости, многие считают, что оно должно быть значительно выше, учитывая серьезность уязвимости.