Ouvrir le menu principal

MacGeneration

Recherche

Arc : The Browser Company bouche une première grosse faille de sécurité

Félix Cattafesta

lundi 23 septembre 2024 à 13:30 • 6

Logiciels

Le navigateur Arc a récemment subi son « premier incident de sécurité grave » depuis sa création. La faille était présente avant le 25 août : The Browser Company a été mise au courant à cette date, et le problème corrigé le lendemain. Heureusement, l’entreprise assure que personne n’a exploité la faille et qu’aucun utilisateur n’a donc été touché. Il n’est pas nécessaire de faire quoi que ce soit pour être protégé de futurs soucis. Le problème était assez sévère étant donné qu’il permettait l'exécution de codes à distance sur les ordinateurs des utilisateurs.

Un « Boost » sur le site de MacG.

Arc propose une fonction appelée Boosts laissant personnaliser n’importe quel site grâce à un CSS ou un JavaScript personnalisé. S’ils ne sont pas partagés entre les différents utilisateurs, ils sont synchronisés entre les appareils d’une même personne. Une faille permettait à un acteur malveillant d’attribuer un Boost à n’importe quel utilisateur pour peu qu’il ait son identifiant. Ainsi, il pouvait donc l'activer pour lui et faire tourner du code indésirable.

Plusieurs astuces permettent de mettre la main sur un identifiant. Heureusement, aucun n’a été modifié, ce qui semble signifier que la faille n’a pas été exploitée. Des détails techniques peuvent être obtenus sur le blog du chercheur xyz3va, à l’origine de la trouvaille.

The Browser Company indique qu’elle va désormais désactiver le code JavaScript des Boost synchronisés : il faudra aller le réactiver manuellement sur chaque appareil. L’entreprise veut se séparer de Firebase, qui est utilisé dans le back-end et impliqué dans le problème. À partir de maintenant, des informations supplémentaires liées à la sécurité seront données dans les futures notes de mise à jour. Ils prévoient également d'embaucher davantage de personnes dans l'équipe sécurité et de clarifier leur programme de chasse aux failles.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Joueurs des Sims sur Mac, il est l'heure d'abandonner Origin

12:30

• 0


Sonnet et Asus font une place à un SSD dans leurs docks Thunderbolt 5

10:26

• 9


Canoo : la start-up spécialisée dans l'automobile électrique tire le rideau

20/01/2025 à 16:30

• 10


Astuce : comment compresser un lot de dossiers en plusieurs archives sur Mac

20/01/2025 à 15:00

• 23


Selon Trump, Apple s’est engagée à réaliser un « investissement massif » aux États-Unis

20/01/2025 à 14:21

• 42


Le milieu de la tech se réunit derrière Donald Trump, le nouveau président des États-Unis

20/01/2025 à 13:00

• 28


La gomme magique de Photos curieusement disponible sur certains Mac sans Apple Intelligence activé

20/01/2025 à 11:58

• 44


Les MacBook Air OLED arriveraient plutôt vers 2029

20/01/2025 à 08:00

• 12


L’iPhone SE 4 et le nouveau Mail sur Mac en approche, pendant que Sonos pourrait être absorbée : la semaine de Gurman

19/01/2025 à 20:30

• 34


Incogni : mettez-vous sur la liste rouge d'Internet, - 50 % en ce moment ! 📍

19/01/2025 à 11:10


Non, les puces ARM ne consomment pas moins que les puces x86 par design

19/01/2025 à 10:00

• 27


Guide : les meilleures extensions Safari pour iPhone, iPad et Mac

18/01/2025 à 11:00

• 35


Disney+ : plus que quelques jours pour profiter de l'offre à 1,99 € pendant 1 an 🆕

18/01/2025 à 10:03

• 86


Promo : -220 € sur l'iMac M4 en 24/512 Go

18/01/2025 à 08:30

• 0


Sortie de veille : comment Apple va-t-elle négocier la nouvelle présidence Trump ?

18/01/2025 à 08:00

• 30


Deux sénateurs se posent des questions sur les dons à l’investiture de Trump, et demandent des réponses à Tim Cook

17/01/2025 à 22:15

• 52