The Browser Company объявила, что для браузера Arc официально запустят программу вознаграждений за ошибки. Компания также выпускает новый бюллетень по безопасности, чтобы поддерживать «прозрачную и проактивную связь» с пользователями и исследователями по исправлениям ошибок и отчётам.
Эти изменения безопасности последовали за ошибкой, которая позволяла злоумышленникам вставлять произвольный код в браузер любого пользователя, просто зная его идентификатор. Проблема находилась внутри функции Arc Boosts, которая позволяет настраивать любой веб-сайт с помощью CSS и Javascript. The Browser Company уже заявила, что она отключила Boosts по умолчанию и добавила новый глобальный переключатель, чтобы деактивировать функцию в версии Arc 1.61.2.
Исследователю, который обнаружил уязвимость, изначально выплатили вознаграждение в размере $2000. Теперь, с запуском программы багбаунти, The Browser Company увеличит сумму выплаты для него до $20 000. Исследователи безопасности могут отправлять отчёты и получать вознаграждение в зависимости от серьёзности ошибки. За ошибки с низкой степенью серьёзности, которые имеют «ограниченную область действия» или «сложно эксплуатируются», можно будет получить до $500, за ошибки средней степени серьёзности — до $2500, высокой степени — до $10 000, а за критические уязвимости будут платить до $20 000.
Компания также разработает руководство по работе с дополнительными обзорами кода, добавит аудит кода, специфичный для безопасности, и наймёт новых сотрудников для команды инженеров безопасности.
Источник: habr.com