يضيف متصفح Arc النشرات الأمنية ومكافآت الأخطاء

بدأت شركة Arc Creator The Browser Company رسميًا برنامج مكافأة الأخطاء للحفاظ على أمان المتصفح المتنامي المستند إلى Chromium تحت المراقبة. تطلق الشركة أيضًا نشرة أمنية جديدة للحفاظ على “اتصال شفاف واستباقي” مع المستخدمين والباحثين بشأن إصلاحات الأخطاء والتقارير.

جاءت هذه المراجعات الأمنية في أعقاب خطأ مدمر اكتشفه أحد الباحثين وأبلغ عنه الشركة والذي كان من شأنه أن يسمح للجهات الفاعلة السيئة بإدخال تعليمات برمجية عشوائية في متصفح أي شخص فقط من خلال معرفة معرف المستخدم الذي يمكن العثور عليه بسهولة.

تكمن المشكلة في ميزة Arc Boosts التي تتيح لك تخصيص أي موقع ويب باستخدام CSS وJavascript. علاوة على عمليات التخفيف الأولية، تقول الشركة إنها قامت الآن بتعطيل Boosts مع Javascript افتراضيًا وأضافت تبديلًا عالميًا جديدًا لإيقاف Boosts تمامًا في إصدار Arc 1.61.2.

حصل الباحث، المعروف باسم xyz3va، في البداية على مكافأة قدرها 2000 دولار مقابل هذه المعلومات. والآن، مع وجود البرنامج الجديد، تعمل شركة The Browser Company على رفع المبلغ إلى 20000 دولار بأثر رجعي. تم تصحيح الثغرة الأمنية في 26 أغسطس.

ومن خلال البرنامج الجديد، يمكن للباحثين الأمنيين إرسال التقارير والحصول على مكافآت بناءً على خطورة الثغرة. يمكن أن تصل النتائج منخفضة الخطورة التي تعتبر “نطاقًا محدودًا” أو “يصعب استغلالها” إلى ما يصل إلى 500 دولار أمريكي، بينما تحصل النتائج المتوسطة على ما يصل إلى 2500 دولار أمريكي، والنتائج العالية تصل إلى 10000 دولار أمريكي، وتربح النتائج الحرجة الحد الأقصى البالغ 20000 دولار أمريكي.

كما أوضح منشور المدونة أيضًا الممارسات الجديدة للعثور على نقاط الضعف الأخرى، مثل إرشادات التطوير مع مراجعات التعليمات البرمجية الإضافية، وإضافة عمليات تدقيق التعليمات البرمجية الخاصة بالأمان، وتعيين موظفين جدد لفريق هندسة الأمان.