{"id":240130,"date":"2024-09-23T15:44:28","date_gmt":"2024-09-23T13:44:28","guid":{"rendered":"https:\/\/www.ifun.de\/?p=240130"},"modified":"2024-09-23T15:44:28","modified_gmt":"2024-09-23T13:44:28","slug":"arc-browser-muss-sich-schlampige-entwicklung-nachsagen-lassen","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/arc-browser-muss-sich-schlampige-entwicklung-nachsagen-lassen-240130\/","title":{"rendered":"Arc-Browser muss sich schlampige Entwicklung nachsagen lassen"},"content":{"rendered":"

Der f\u00fcr den Mac, Windows und Mobilger\u00e4te verf\u00fcgbare Webbrowser Arc<\/a> muss sich nachsagen lassen, dass eine Sicherheitsl\u00fccke potenziellen Angreifern die M\u00f6glichkeit geboten hat, \u00fcber die Browser-Sitzungen von Arc-Nutzern beliebigen Code auszuf\u00fchren. Das Pikante dabei: Durch die Schwachstelle war es offenbar m\u00f6glich, auf den Arc-Browser eines Nutzers zuzugreifen, ohne dass dieser hierf\u00fcr eine modifizierte Webseite oder dergleichen besuchen musste.<\/p>\n

Die Schwachstelle wurde durch eine von Arc unabh\u00e4ngige Entwicklerin ausgemacht<\/a> und von dieser als einen katastrophalen Fehler bei der Programmierung der Anwendung bezeichnet.<\/p>\n

Die Ursache des Problems war offenbar in der Verwendung des Datenbankdienstes \u201eFirebase\u201c zu suchen, mit dessen Hilfe die Arc-Entwickler verschiedene Funktionen ihres Browsers umgesetzt haben. Durch eine fehlerhafte Konfiguration der Firebase-Zugriffsrechte sei es m\u00f6glich gewesen, die sogenannte \u201ecreatorID\u201c von Firebase-Prozessen zu \u00e4ndern. Dies h\u00e4tte es einem Angreifer erlaubt, gezielt und ohne dessen Wissen oder Zustimmung Schadcode in das Browser-Konto eines anderen Arc-Nutzers einzuspielen.<\/p>\n

\"Arc<\/a><\/p>\n

Technisch interessierte und mit entsprechendem Programmierwissen ausgestattete Menschen k\u00f6nnen im Blog der Entwicklerin<\/a> Details zu der Schwachstelle nachlesen.<\/p>\n

Sicherheitsl\u00fccke offenbar nicht ausgenutzt<\/h2>\n

Die Arc-Entwickler bezahlen normalerweise keine Pr\u00e4mien f\u00fcr das Aufdecken von Sicherheitsl\u00fccken, in diesem Fall h\u00e4tten sie allerdings 2.000 Dollar aufgeboten, was nach Ansicht der Entwicklerin die Relevanz der Entdeckung betont.<\/p>\n

Zudem haben die Arc-Entwickler mittlerweile eine Stellungnahme zu dem Vorfall<\/a> ver\u00f6ffentlicht, in dem nachzulesen ist, dass die Sicherheitsl\u00fccke nur einen Tag, nachdem sie dar\u00fcber informiert wurden, behoben wurde. Auch sei es sicher, dass die Schwachstelle von niemandem ausgenutzt wurde. F\u00fcr Nutzer von Arc gebe es keinerlei Handlungsbedarf, da die Korrektur an zentraler Stelle vorgenommen werden konnte.<\/p>\n","protected":false},"excerpt":{"rendered":"\"Arc<\/a>

Der f\u00fcr den Mac, Windows und Mobilger\u00e4te verf\u00fcgbare Webbrowser Arc muss sich nachsagen lassen, dass eine Sicherheitsl\u00fccke potenziellen Angreifern die M\u00f6glichkeit geboten hat, \u00fcber die Browser-Sitzungen von Arc-Nutzern beliebigen Code auszuf\u00fchren. Das Pikante dabei: Durch die Schwachstelle war es offenbar m\u00f6glich, auf den Arc-Browser eines Nutzers zuzugreifen, ohne dass dieser hierf\u00fcr eine modifizierte Webseite oder […]<\/p>\n","protected":false},"author":2,"featured_media":240133,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[5],"tags":[4737,5394,211],"class_list":["post-240130","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-apps","tag-apps","tag-arc","tag-browser"],"acf":[],"aioseo_notices":[],"aioseo_head":"\n\t\t\n\t\n\t\n\t\n\t\n\t\n\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t