Arc внедряет программу вознаграждения за обнаруженные уязвимости и усиливает меры безопасности
Arc от компании The Browser Company объявила о запуске программы вознаграждений за найденные уязвимости, чтобы обеспечить безопасность своего браузера на основе Chromium. Также планируется запуск нового бюллетеня безопасности для «прозрачного и проактивного общения» с пользователями и исследователями по вопросам устранения уязвимостей и отчетов.
Реакция на найденную уязвимость
Эти меры были приняты после того, как исследователь обнаружил серьёзную уязвимость, которая позволяла злоумышленникам вставлять произвольный код в браузер любого пользователя, зная его легко находимый идентификатор. Подробности об этой уязвимости можно найти в источнике.
Инцидент с функцией Arc Boosts
Проблема возникла в функции Arc Boosts, которая позволяет кастомизировать любой сайт с помощью CSS и JavaScript. В ответ на найденные уязвимости, компания временно отключила поддержку JavaScript в Boosts по умолчанию и добавила новый глобальный переключатель для полного отключения Boosts в версии Arc 1.61.2.
Вознаграждение исследователя
Исследователь под ником xyz3va первоначально получил вознаграждение в размере $2,000 за предоставленную информацию. Однако теперь, с запуском новой программы, Компания увеличила выплату до $20,000 ретроспективно. Уязвимость была исправлена 26 августа.
Ранжирование вознаграждений
По новой программе, исследователи могут отправлять отчёты и получать вознаграждения на основе серьезности найденных уязвимостей. За уязвимости низкой серьёзности, которые имеют «ограниченный охват» или «труднодоступность», вознаграждение составит до $500. Уязвимости средней серьёзности — до $2,500, высокой — до $10,000, критической — до $20,000.
Дополнительные меры безопасности
В блоге компании также описаны новые методики поиска уязвимостей, такие как дополнительные проверки кода, специфические кодовые аудиты безопасности, а также наём новых сотрудников в команду инженеров по безопасности.
Источник: TheVerge
