Cela aurait permis à des individus malveillants de pirater aisément l’ordinateur de leur cible. Imaginez les dégâts que cela aurait pu causer, n’est-ce pas inquiétant ?
Tl;dr
- Le navigateur Arc offre une fonctionnalité de personnalisation des sites web appelée « Boosts ».
- Une faille de sécurité a été découverte permettant d’exploiter cette fonctionnalité pour compromettre les systèmes des utilisateurs.
- Cette faille a été corrigée rapidement et aucune exploitation n’a été signalée.
- La société a depuis mis en place plusieurs mesures de sécurité supplémentaires.
Une faille majeure dans le navigateur Arc
Le navigateur Arc, connu pour sa fonctionnalité unique de personnalisation des sites web, a récemment été au centre d’une controverse relative à la sécurité. Cette fonctionnalité, appelée « Boosts », permet aux utilisateurs de modifier l’apparence des sites web, en changeant, par exemple, la couleur de fond ou la police de caractères. Les utilisateurs peuvent également supprimer des éléments indésirables des pages et partager ces modifications sur plusieurs appareils.
Exploitation potentielle de la fonctionnalité Boosts
Cependant, un chercheur en sécurité, connu sous le pseudonyme de « xyzeva », a découvert une faille majeure dans cette fonctionnalité. En utilisant les Boosts, un acteur malveillant pourrait exploiter la faille pour compromettre le système de la victime. Le processus impliquerait la création d’un Boost malveillant, puis la modification de l’identification du créateur (creatorID) pour qu’elle corresponde à celle de la victime ciblée. Lorsque la victime visiterait le site web sur Arc, elle pourrait télécharger à son insu le logiciel malveillant de l’attaquant.
La réaction de la société Browser Company
Suite à la découverte de cette faille, la Browser Company, créatrice d’Arc, a rapidement réagi. Dans un post, elle a reconnu l’existence de la faille et a assuré qu’une correction avait été mise en place en moins de 24 heures avec l’aide du chercheur xyzeva. Elle a également affirmé qu’aucun utilisateur n’avait été affecté par cette vulnérabilité.
Pour éviter une telle situation à l’avenir, la société a mis en place plusieurs mesures de sécurité. Parmi celles-ci, on compte le retrait de Firebase, l’interdiction par défaut du JavaScript sur les Boosts synchronisés, la création d’un programme de recherche de bugs et l’embauche d’un ingénieur senior en sécurité.
La cybersécurité, une préoccupation majeure
Cette affaire souligne l’importance de la cybersécurité, surtout dans le contexte actuel où la technologie joue un rôle central dans nos vies. Les entreprises doivent rester vigilantes et proactives pour protéger leurs utilisateurs contre les menaces potentielles.
Source link
