Ouvrir le menu principal

MacGeneration

Recherche

Arc : The Browser Company bouche une première grosse faille de sécurité

Félix Cattafesta

lundi 23 septembre 2024 à 13:30 • 6

Logiciels

Le navigateur Arc a récemment subi son « premier incident de sécurité grave » depuis sa création. La faille était présente avant le 25 août : The Browser Company a été mise au courant à cette date, et le problème corrigé le lendemain. Heureusement, l’entreprise assure que personne n’a exploité la faille et qu’aucun utilisateur n’a donc été touché. Il n’est pas nécessaire de faire quoi que ce soit pour être protégé de futurs soucis. Le problème était assez sévère étant donné qu’il permettait l'exécution de codes à distance sur les ordinateurs des utilisateurs.

Un « Boost » sur le site de MacG.

Arc propose une fonction appelée Boosts laissant personnaliser n’importe quel site grâce à un CSS ou un JavaScript personnalisé. S’ils ne sont pas partagés entre les différents utilisateurs, ils sont synchronisés entre les appareils d’une même personne. Une faille permettait à un acteur malveillant d’attribuer un Boost à n’importe quel utilisateur pour peu qu’il ait son identifiant. Ainsi, il pouvait donc l'activer pour lui et faire tourner du code indésirable.

Plusieurs astuces permettent de mettre la main sur un identifiant. Heureusement, aucun n’a été modifié, ce qui semble signifier que la faille n’a pas été exploitée. Des détails techniques peuvent être obtenus sur le blog du chercheur xyz3va, à l’origine de la trouvaille.

The Browser Company indique qu’elle va désormais désactiver le code JavaScript des Boost synchronisés : il faudra aller le réactiver manuellement sur chaque appareil. L’entreprise veut se séparer de Firebase, qui est utilisé dans le back-end et impliqué dans le problème. À partir de maintenant, des informations supplémentaires liées à la sécurité seront données dans les futures notes de mise à jour. Ils prévoient également d'embaucher davantage de personnes dans l'équipe sécurité et de clarifier leur programme de chasse aux failles.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Teleplayer : un lecteur AirPlay qui permet d’enchaîner plusieurs vidéos

23/12/2024 à 21:45

• 4


Angry Robots!, un nouveau jeu pour les Macintosh 68K, fourni sur une disquette

23/12/2024 à 19:50

• 6


Avec les M5 Pro, Apple pourrait séparer CPU et GPU dans une conception 3D

23/12/2024 à 17:30

• 12


Des photos de la nouvelle Bbox Wi-Fi 7, de son répéteur Wi-Fi 7 et de l'interface de gestion

23/12/2024 à 16:15

• 11


Apple lancerait un nouvel iPad d’entrée de gamme au printemps 2025

23/12/2024 à 14:59


Google offre d'assouplir ses contrats de moteur de recherche avec Apple et les autres

23/12/2024 à 13:00

• 12


Bon plan : le MacBook Air M2 à 949 € et 80 € en carte cadeau chez Darty

23/12/2024 à 11:37

• 0


Sentinel simplifie le passage de contrôle de sécurité des apps sur Mac

23/12/2024 à 10:59

• 15


Apple sonne à la porte et les AirPods jettent un œil : la semaine de la pomme avec Mark Gurman

22/12/2024 à 19:00

• 15


Comment le Mac est revenu sur le devant de la scène

22/12/2024 à 10:00

• 76


Idées cadeaux : le piano numérique Feurich Olya Evo à -33%

Partenaire


Sortie de veille : première polémique pour Apple Intelligence

21/12/2024 à 08:00

• 22


Sortie de route pour la date de sortie de CarPlay 2

20/12/2024 à 20:15

• 18


Starlink a le droit d'utiliser une nouvelle série de satellites en France

20/12/2024 à 19:15

• 38


Jeu : DREDGE disponible pour macOS sur Steam et GOG, en attendant la version App Store

20/12/2024 à 18:30

• 6


Apple améliore les performances des GPU Nvidia pour l'IA

20/12/2024 à 17:45

• 35