Der Arc-Erfinder The Browser Company hat offiziell ein Bug-Bounty-Programm gestartet, um die Sicherheit seines wachsenden Chromium-basierten Browsers zu überwachen. Das Unternehmen veröffentlicht außerdem ein neues Sicherheitsbulletin, um eine „transparente und proaktive Kommunikation“ mit Benutzern und Forschern über Fehlerbehebungen und Berichte aufrechtzuerhalten.
Diese Sicherheitsüberarbeitungen folgten einem verheerenden Fehler, der von einem Forscher entdeckt und dem Unternehmen gemeldet wurde und der es Angreifern angeblich ermöglichte, beliebigen Code in den Browser einer beliebigen Person einzufügen, indem sie einfach wussten, dass ihre Benutzer-ID leicht zu finden war.
Das Problem lag in der Arc Boosts-Funktion, mit der Sie jede Website mit CSS und Javascript anpassen können. Zusätzlich zu den anfänglichen Abhilfemaßnahmen hat das Unternehmen nach eigenen Angaben Boosts mit Javascript nun standardmäßig deaktiviert und einen neuen globalen Schalter hinzugefügt, um Boosts in Arc-Version 1.61.2 vollständig zu deaktivieren.
Der Forscher namens xyz3va erhielt für diese Informationen zunächst ein Kopfgeld von 2.000 US-Dollar. Nachdem das neue Programm nun eingeführt ist, erhöht The Browser Company es rückwirkend auf 20.000 US-Dollar. Die Sicherheitslücke wurde am 26. August behoben.
Mit dem neuen Programm können Sicherheitsforscher Berichte einreichen und je nach Schwere des Fehlers Belohnungen erhalten. Ergebnisse mit niedrigem Schweregrad, die „im Umfang begrenzt“ oder „schwer auszunutzen“ sind, können bis zu 500 US-Dollar wert sein, mittlere Ergebnisse bis zu 2.500 US-Dollar, hohe Ergebnisse bis zu 10.000 US-Dollar und kritische Ergebnisse bis zu 10.000 US-Dollar.
Der Blogbeitrag beschreibt auch neue Praktiken zur Erkennung anderer Schwachstellen, wie z. B. Entwicklungsrichtlinien mit zusätzlichen Codeüberprüfungen, das Hinzufügen sicherheitsspezifischer Codeprüfungen und die Einstellung neuer Mitarbeiter für das Sicherheitstechnikteam.