ifun.de — Apple News seit 2001. 39 293 Artikel

"Katastrophale Schwachstelle" behoben

Arc-Browser muss sich schlampige Entwicklung nachsagen lassen

Artikel auf Mastodon teilen.
7 Kommentare 7

Der für den Mac, Windows und Mobilgeräte verfügbare Webbrowser Arc muss sich nachsagen lassen, dass eine Sicherheitslücke potenziellen Angreifern die Möglichkeit geboten hat, über die Browser-Sitzungen von Arc-Nutzern beliebigen Code auszuführen. Das Pikante dabei: Durch die Schwachstelle war es offenbar möglich, auf den Arc-Browser eines Nutzers zuzugreifen, ohne dass dieser hierfür eine modifizierte Webseite oder dergleichen besuchen musste.

Die Schwachstelle wurde durch eine von Arc unabhängige Entwicklerin ausgemacht und von dieser als einen katastrophalen Fehler bei der Programmierung der Anwendung bezeichnet.

Die Ursache des Problems war offenbar in der Verwendung des Datenbankdienstes „Firebase“ zu suchen, mit dessen Hilfe die Arc-Entwickler verschiedene Funktionen ihres Browsers umgesetzt haben. Durch eine fehlerhafte Konfiguration der Firebase-Zugriffsrechte sei es möglich gewesen, die sogenannte „creatorID“ von Firebase-Prozessen zu ändern. Dies hätte es einem Angreifer erlaubt, gezielt und ohne dessen Wissen oder Zustimmung Schadcode in das Browser-Konto eines anderen Arc-Nutzers einzuspielen.

Arc Schwachstelle

Technisch interessierte und mit entsprechendem Programmierwissen ausgestattete Menschen können im Blog der Entwicklerin Details zu der Schwachstelle nachlesen.

Sicherheitslücke offenbar nicht ausgenutzt

Die Arc-Entwickler bezahlen normalerweise keine Prämien für das Aufdecken von Sicherheitslücken, in diesem Fall hätten sie allerdings 2.000 Dollar aufgeboten, was nach Ansicht der Entwicklerin die Relevanz der Entdeckung betont.

Zudem haben die Arc-Entwickler mittlerweile eine Stellungnahme zu dem Vorfall veröffentlicht, in dem nachzulesen ist, dass die Sicherheitslücke nur einen Tag, nachdem sie darüber informiert wurden, behoben wurde. Auch sei es sicher, dass die Schwachstelle von niemandem ausgenutzt wurde. Für Nutzer von Arc gebe es keinerlei Handlungsbedarf, da die Korrektur an zentraler Stelle vorgenommen werden konnte.

23. Sep 2024 um 15:44 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    7 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ehrlich gesagt, ist schon die Nutzung von Firebase an sich kritisch zu sehen. Denn Firebase ist ein Cloud-basiertes Framework von Google, d.h. alle damit verwalteten Daten landen bei Google. Und das muss ja nicht sein

    • Oh Cloud, Google, AWS, alles böse.
      1. man Firebase und viele Cloudservice auch so nutzen das Daten da drin nicht im Plaintext stehen.
      2. und welchen DNS im Router hast Du eingetragen? Quad One, eight oder Nine?
      3. benutzt Du Quad One Warp oder VPN Dienste?

  • Gilt das eigentlich auch für arc search? Nutze ich mittlerweile als Alternative zu Google und bin mit den Ergebnissen sehr zufrieden

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39293 Artikel in den vergangenen 8430 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven