Создатель Arc The Browser Company официально запустил программу вознаграждения за ошибки чтобы держать под контролем безопасность растущего браузера на базе Chromium. Компания также выпускает новый бюллетень по безопасности для поддержания «прозрачного и активного общения» с пользователями и исследователями по вопросам исправления ошибок и отчетов.
Эти изменения безопасности последовали разрушительная ошибка исследователь обнаружил и сообщил компании, что злоумышленники могли бы позволить злоумышленникам вставлять произвольный код в чей-либо браузер, просто зная его легко находимый идентификатор пользователя.
Проблема заключалась в функции Arc Boosts, которая позволяет настраивать любой веб-сайт с помощью CSS и Javascript. Помимо первоначальных мер по смягчению последствий, компания заявляет, что теперь она по умолчанию отключила Boosts с помощью Javascript и добавила новый глобальный переключатель, позволяющий полностью отключить Boosts в версии Arc 1.61.2.
Исследователю, известному как xyz3va, первоначально заплатили за информацию вознаграждение в размере 2000 долларов. Теперь, с появлением новой программы, The Browser Company задним числом увеличив его до 20 000 долларов США. Уязвимость была исправлена 26 августа.
С помощью новой программы исследователи безопасности смогут отправлять отчеты и получать вознаграждения в зависимости от серьезности ошибки. За результаты низкой степени серьезности, которые имеют «ограниченный объем» или «сложно использовать», можно получить до 500 долларов США, средней степени — до 2500 долларов США, высокой степени — до 10 000 долларов США, а критической — потолок в 20 000 долларов США.
В сообщении блога также были описаны новые методы поиска других уязвимостей, такие как рекомендации по разработке с дополнительными проверками кода, добавление аудита кода, специфичного для безопасности, и найм нового персонала для группы инженеров по безопасности.