Ouvrir le menu principal

MacGeneration

Recherche

Arc : The Browser Company bouche une première grosse faille de sécurité

Félix Cattafesta

lundi 23 septembre 2024 à 13:30 • 6

Logiciels

Le navigateur Arc a récemment subi son « premier incident de sécurité grave » depuis sa création. La faille était présente avant le 25 août : The Browser Company a été mise au courant à cette date, et le problème corrigé le lendemain. Heureusement, l’entreprise assure que personne n’a exploité la faille et qu’aucun utilisateur n’a donc été touché. Il n’est pas nécessaire de faire quoi que ce soit pour être protégé de futurs soucis. Le problème était assez sévère étant donné qu’il permettait l'exécution de codes à distance sur les ordinateurs des utilisateurs.

Un « Boost » sur le site de MacG.

Arc propose une fonction appelée Boosts laissant personnaliser n’importe quel site grâce à un CSS ou un JavaScript personnalisé. S’ils ne sont pas partagés entre les différents utilisateurs, ils sont synchronisés entre les appareils d’une même personne. Une faille permettait à un acteur malveillant d’attribuer un Boost à n’importe quel utilisateur pour peu qu’il ait son identifiant. Ainsi, il pouvait donc l'activer pour lui et faire tourner du code indésirable.

Plusieurs astuces permettent de mettre la main sur un identifiant. Heureusement, aucun n’a été modifié, ce qui semble signifier que la faille n’a pas été exploitée. Des détails techniques peuvent être obtenus sur le blog du chercheur xyz3va, à l’origine de la trouvaille.

The Browser Company indique qu’elle va désormais désactiver le code JavaScript des Boost synchronisés : il faudra aller le réactiver manuellement sur chaque appareil. L’entreprise veut se séparer de Firebase, qui est utilisé dans le back-end et impliqué dans le problème. À partir de maintenant, des informations supplémentaires liées à la sécurité seront données dans les futures notes de mise à jour. Ils prévoient également d'embaucher davantage de personnes dans l'équipe sécurité et de clarifier leur programme de chasse aux failles.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Asahi Linux lance des jeux AAA sur les Mac Apple Silicon, parfois mieux que macOS

10/10/2024 à 20:00

• 13


Global Police Summit : les conférences spécialisées d'Apple pour les forces de l'ordre

10/10/2024 à 18:30

• 1


Une faille dans CUPS, la technologie d'impression d'Apple, très dangereuse dans de nombreux UNIX… sauf ceux d'Apple

10/10/2024 à 16:15

• 11


Découvrez les détails de la connexion Wi-Fi de votre iPhone grâce à ce raccourci iOS

10/10/2024 à 15:00


Adobe prépare un outil gratuit pour améliorer la traçabilité des fichiers

10/10/2024 à 12:30

• 2


L’application X plante sur Mac

10/10/2024 à 11:19

• 24


Fibre Orange et Sosh : des débits plus rapides sans changement de prix

10/10/2024 à 09:54

• 95


Quel moteur de recherche utilisez-vous ?

10/10/2024 à 09:00

• 98


Microsoft Office à moins de 30 € pour Mac ou PC, c'est maintenant !📍

10/10/2024 à 08:55


Kernel Panic : l'Apple Watch Ultra est-elle encore dans la course ?

10/10/2024 à 08:00

• 24


Dernières heures de promos Amazon Prime : AirPods Pro 2, SSD, Magic Mouse…

09/10/2024 à 23:55

• 11


Dan Riccio, responsable de la branche Vision, prend sa retraite

09/10/2024 à 21:48

• 24


Le .io va-t-il disparaître d’Internet ?

09/10/2024 à 21:00

• 21


Photomator va bientôt muscler son gestionnaire de photos

09/10/2024 à 18:30

• 15


La fonction recopie de l'iPhone est temporairement indésirable en entreprise

09/10/2024 à 17:15

• 62


Alarmo : Nintendo lance un réveil musical interactif

09/10/2024 à 16:37