Arc browser cập nhật thông báo bảo mật và thưởng bug hoàn chỉnh

Công ty sáng tạo Arc Browser Company đã chính thức bắt đầu một chương trình phần thưởng cho lỗi để duy trì tính an toàn của trình duyệt dựa trên Chromium đang phát triển của mình. Công ty cũng đang triển khai một bản tin an ninh mới để duy trì “một thông tin trong suốt và tích cực” với người dùng và nhà nghiên cứu về các lỗi và báo cáo. #ArcBrowser #BugBounty #SecurityBulletin

Những sửa đổi về an ninh này được thực hiện sau khi một lỗi tàn khốc được một nhà nghiên cứu phát hiện và báo cáo cho công ty, có thể cho phép làm chèn mã tùy ý vào trình duyệt của bất kỳ ai chỉ bằng cách biết ID người dùng dễ tìm thấy. #SecurityRevise #ArcBoosts

Vấn đề đã xuất hiện trong tính năng Arc Boosts cho phép bạn tùy chỉnh bất kỳ trang web nào bằng CSS và Javascript. Ngoài các biện pháp khắc phục ban đầu, công ty cho biết họ hiện đã vô hiệu hóa Boosts với Javascript theo mặc định và thêm một công tắc toàn cầu mới để tắt hoàn toàn Boosts trong phiên bản Arc 1.61.2. #SecurityFix #Vulnerability

Người nghiên cứu, được biết đến với tên xyz3va, ban đầu đã nhận được một khoản phần thưởng 2.000 đô la cho thông tin đó. Bây giờ, với chương trình mới, Browser Company đang tăng lên 20.000 đô la ngược lại. Lỗ hổng này đã được vá vào ngày 26 tháng 8. #BugHunter #RetroactiveReward

Với chương trình mới, các nhà nghiên cứu về an ninh có thể gửi báo cáo và nhận phần thưởng dựa trên mức độ nghiêm trọng của lỗi. Các phát hiện về mức độ nghiêm trọng thấp mà “phạm vi giới hạn” hoặc “khó khai thác” có thể đạt lên tới 500 đô la, Trung bình lên tới 2.500 đô la, Cao lên tới 10.000 đô la, và Critical nguyên 20.000 đô la. #SecurityProgram #Rewards

Bài đăng trên blog cũng cáo bạch các thực hành mới để tìm ra các lỗ hổng khác, như hướng dẫn phát triển với thêm kiểm tra mã code, thêm kiểm tra mã cụ thể về an ninh, và tuyển dụng nhân viên mới cho đội ngũ kỹ sư an ninh. #SecurityPractices #VulnerabilityAudit

Arc creator The Browser Company has officially started a bug bounty program to keep its growing Chromium-based browser’s security in check. The company is also launching a new security bulletin to maintain “transparent and proactive communication” with users and researchers on bug fixes and reports.

These security revisions followed a devastating bug a researcher found and reported to the company that would’ve allowed bad actors to insert arbitrary code into anyone’s browser just by knowing their easily findable user ID.

The problem lived inside the Arc Boosts feature that lets you customize any website with CSS and Javascript. On top of its initial mitigations, the company says it now has disabled Boosts with Javascript by default and added a new global toggle to turn Boosts off completely in Arc version 1.61.2.

The researcher, known as xyz3va, was initially paid a $2,000 bounty for the information. Now, with the new program in place, The Browser Company is upping it to $20,000 retroactively. The vulnerability was patched on August 26th.

With the new program, security researchers can submit reports and get rewards based on the bug’s severity. Low severity findings that are “limited scope” or “hard to exploit” could land up to $500, Medium gets up to $2,500, High up to $10,000, and Critical earns the $20,000 ceiling.

The blog post also outlined new practices to find other vulnerabilities, like development guidelines with additional code reviews, adding security-specific code audits, and hiring new staff for the security engineering team.