CVE-2024-52928

چکیده

این آسیب‌پذیری بحرانی در مرورگر Arc نسخه ویندوز ،به مهاجمان اجازه می‌دهد با استفاده از مجوزهایی که قبلاً توسط کاربر داده شده‌اند، مجوزهای جدیدی را بدون اطلاع کاربر و صرفاً با کلیک روی هر بخش از سایت اعمال کنند.

توضیحات

این آسیب‌پذیری در مرورگر Arc روی سیستم‌عامل ویندوز (نسخه‌های 1.26.0 و پایین‌تر) به دلیل مدیریت نادرست وضعیت تنظیمات سایت (CWE-284) رخ می‌دهد. در این حالت، وب‌سایت‌هایی که قبلاً از کاربر مجوز دریافت کرده‌اند، می‌توانند با سوءاستفاده از این آسیب‌پذیری، درخواست مجوزهای جدیدی بدهند که بدون تأیید صریح کاربر و تنها با کلیک او در هر نقطه از صفحه، به‌طور خودکار اعطا می‌شوند. این آسیب پذیری نیازی به احراز هویت نداشته، اما به تعامل کاربر (کلیک روی صفحه) وابسته بوده و از راه دور قابل بهره‌برداری است. در عین حال درخواست‌های مجوز برای وب سایت های جدید همچنان به درستی نمایش داده شده و درخواست های رد شده نیز رعایت می گردند. همچنین این آسیب پذیری سه اصل امنیت شامل محرمانگی (confidentiality)، یکپارچگی (integrity) و در دسترس پذیری (availability) را تهدید می کند. این آسیب پذیری فقط نسخه‌های ویندوزی Arc را تحت تأثیر قرار می‌دهد و نسخه‌های macOS آسیب‌پذیر نیستند. The Browser Company این آسیب پذیری را در تاریخ 4 نوامبر 2024 شناسایی کرده و آن را در نسخه 1.26.1 با یک hotfix برطرف کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

با توجه به بحرانی بودن این آسیب‌پذیری و امکان بهره‌برداری از آن تنها با تعامل ساده کاربر، به‌روزرسانی فوری مرورگر Arc به نسخه 1.26.1 یا بالاتر، برای جلوگیری از نقض حریم خصوصی و افزایش سطح دسترسی غیرمجاز اکیداً توصیه می‌شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2024-52928
2. https://www.cvedetails.com/cve/CVE-2024-52928/
3. https://arc.net/security/bulletins#windows-site-settings-bypass-cve-2024-52928
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-52928
5. https://vuldb.com/?id.314024
6. https://nvd.nist.gov/vuln/detail/CVE-2024-52928
7. http://cwe.mitre.org/data/definitions/284.html