تقنية

ثغرة خطيرة فى متصفح Arc الذى يسمح لك بتخصيص مواقع الويب

ثغرة خطيرة فى متصفح Arc الذى يسمح لك بتخصيص مواقع الويب
القاهرة: «رأي الأمة»

من بين الميزات التي تميز Arc عن منافسيها هي القدرة على تخصيص مواقع الويب. تتيح الميزة التي تسمى “Boosts” للمستخدمين تغيير لون خلفية موقع الويب، والتبديل إلى الخط الذي يفضلونه أو الخط الذي يسهل عليهم قراءته، وحتى إزالة العناصر غير المرغوب فيها من الصفحة بالكامل.

لا يُفترض أن تكون تعديلاتها مرئية لأي شخص آخر، ولكن يمكن مشاركتها عبر الأجهزة، والآن، اعترفت شركة Browser Company، مبتكر Arc، بأن باحثًا أمنيًا وجد ثغرة أمنية حرجة يمكن أن تسمح للمهاجمين باستخدام التحسينات لاختراق أنظمة أهدافهم.

استخدمت الشركة نظام Firebase، والذي وصفه باحث أمني يُعرف باسم “xyzeva” في منشوره حول الثغرة الأمنية بأنه “خدمة قاعدة بيانات كخدمة خلفية”، لتشغيل العديد من ميزات Arc.

بالنسبة إلى Boosts، على وجه الخصوص، يتم استخدامها لمشاركة التخصيصات ومزامنتها عبر الأجهزة.

في منشور xyzeva، أظهروا كيف يعتمد المتصفح على CreatorID لتحميل التعزيزات على الجهاز، كما شاركوا أيضًا كيف يمكن لأي شخص تغيير هذا العنصر إلى معرف الهدف الخاص به وتعيين التعزيزات المستهدفة التي أنشأها له.

على سبيل المثال، إذا قام أحد الجهات الفاعلة السيئة بإجراء تحسين باستخدام حمولة ضارة، فيمكنه ببساطة تغيير معرف المنشئ الخاص به إلى معرف المنشئ للهدف المقصود.

وعندما يقوم الضحية المقصودة بزيارة موقع Arc على الويب، فإنه قد يقوم عن غير قصد بتنزيل البرامج الضارة للمهاجم.

وكما أوضح الباحث، فمن السهل جدًا الحصول على معرفات مستخدم المتصفح، والمستخدم الذي يحيل شخصًا ما إلى Arc سيشارك معرفه مع المتلقي، وإذا أنشأ أيضًا حسابًا من إحالة، فسيحصل الشخص الذي أرسله أيضًا على معرفه.

يمكن للمستخدمين أيضًا مشاركة تعزيزاتهم مع الآخرين، ويوجد لدى Arc صفحة للتعزيزات العامة التي تحتوي على معرفات المبدعين للأشخاص الذين قاموا بإنشائها.

وقالت شركة المتصفح في منشورها إن شركة xyzeva أخطرتها بشأن المشكلة الأمنية في 25 أغسطس/آب، وأصدرت إصلاحًا في اليوم التالي بمساعدة الباحث. كما أكدت للمستخدمين أنه لم يتمكن أحد من استغلال الثغرة، ولم يتأثر أي مستخدم.

كما نفذت الشركة العديد من التدابير الأمنية لمنع حدوث موقف مماثل، بما في ذلك الخروج من Firebase، وتعطيل Javascript في التعزيزات المتزامنة بشكل افتراضي، وإنشاء برنامج مكافأة الأخطاء، وتوظيف مهندس أمان كبير جديد.

للمزيد : تابعنا هنا ، وللتواصل الاجتماعي تابعنا علي فيسبوك وتويتر .

مصدر المعلومات والصور: youm7

 


اكتشاف المزيد من رأي الأمة

اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.

زر الذهاب إلى الأعلى

اكتشاف المزيد من رأي الأمة

اشترك الآن للاستمرار في القراءة والحصول على حق الوصول إلى الأرشيف الكامل.

Continue reading