Ο δημιουργός του Arc The Browser Company έχει επίσημα ξεκίνησε ένα πρόγραμμα επιβράβευσης σφαλμάτων για να διατηρήσει υπό έλεγχο την ασφάλεια του αναπτυσσόμενου προγράμματος περιήγησης που βασίζεται στο Chromium. Η εταιρεία λανσάρει επίσης ένα νέο ενημερωτικό δελτίο ασφαλείας για τη διατήρηση «διαφανούς και προληπτικής επικοινωνίας» με χρήστες και ερευνητές σχετικά με διορθώσεις σφαλμάτων και αναφορές.
Αυτές οι αναθεωρήσεις ασφαλείας ακολούθησαν ένα καταστροφικό σφάλμα που ανακάλυψε ένας ερευνητής και ανέφερε στην εταιρεία, το οποίο θα επέτρεπε σε κακούς ηθοποιούς να εισάγουν αυθαίρετο κώδικα στο πρόγραμμα περιήγησης οποιουδήποτε χρήστη, απλώς γνωρίζοντας το αναγνωριστικό χρήστη που μπορεί να βρεθεί εύκολα.
Το πρόβλημα υπήρχε μέσα στη λειτουργία Arc Boosts που σας επιτρέπει να προσαρμόσετε οποιονδήποτε ιστότοπο με CSS και Javascript. Εκτός από τους αρχικούς μετριασμούς της, η εταιρεία λέει ότι έχει πλέον απενεργοποιήσει το Boosts με Javascript από προεπιλογή και πρόσθεσε μια νέα καθολική εναλλαγή για να απενεργοποιήσει πλήρως το Boosts στην έκδοση Arc 1.61.2.
Ο ερευνητής, γνωστός ως xyz3va, πληρώθηκε αρχικά με αμοιβή 2.000 $ για τις πληροφορίες. Τώρα, με το νέο πρόγραμμα σε εφαρμογή, η The Browser Company είναι ανεβάζοντάς το στα 20.000 δολάρια αναδρομικά. Η ευπάθεια επιδιορθώθηκε στις 26 Αυγούστου.
Με το νέο πρόγραμμα, οι ερευνητές ασφαλείας μπορούν να υποβάλλουν αναφορές και να λαμβάνουν ανταμοιβές με βάση τη σοβαρότητα του σφάλματος. Τα ευρήματα χαμηλής σοβαρότητας που είναι “περιορισμένου εύρους” ή “δύσκολα στην εκμετάλλευση” θα μπορούσαν να φτάσουν έως και 500 $, το Medium λαμβάνει έως και $2.500, το High έως $10.000 και το Critical κερδίζει το ανώτατο όριο των $20.000.
Η ανάρτηση του ιστολογίου περιέγραφε επίσης νέες πρακτικές για την εύρεση άλλων ευπαθειών, όπως οδηγίες ανάπτυξης με πρόσθετους ελέγχους κώδικα, προσθήκη ελέγχων κώδικα ειδικών για την ασφάλεια και πρόσληψη νέου προσωπικού για την ομάδα μηχανικών ασφαλείας.
VIA: theverge.com
