Der Arc-Erfinder The Browser Company hat offiziell ein Bug-Bounty-Programm gestartet, um die Sicherheit seines wachsenden Chromium-basierten Browsers unter Kontrolle zu halten. Das Unternehmen veröffentlicht außerdem ein neues Sicherheitsbulletin, um eine „transparente und proaktive Kommunikation“ mit Benutzern und Forschern zu Fehlerbehebungen und Berichten aufrechtzuerhalten.
Diese Sicherheitsüberarbeitungen folgten einem verheerenden Fehler, den ein Forscher gefunden und dem Unternehmen gemeldet hatte und der es Kriminellen ermöglicht hätte, beliebigen Code in den Browser einer beliebigen Person einzufügen, indem sie einfach deren leicht auffindbare Benutzer-ID kannten.
Das Problem lag in der Arc Boosts-Funktion, mit der Sie jede Website mit CSS und Javascript anpassen können. Zusätzlich zu den anfänglichen Abhilfemaßnahmen gibt das Unternehmen an, Boosts mit Javascript jetzt standardmäßig deaktiviert zu haben und einen neuen globalen Schalter hinzugefügt zu haben, um Boosts in Arc-Version 1.61.2 vollständig auszuschalten.
Der Forscher namens xyz3va erhielt für die Informationen zunächst ein Kopfgeld von 2.000 US-Dollar. Jetzt, da das neue Programm eingeführt ist, erhöht The Browser Company den Betrag rückwirkend auf 20.000 US-Dollar. Die Schwachstelle wurde am 26. August behoben.
Mit dem neuen Programm können Sicherheitsforscher Berichte einreichen und je nach Schwere des Fehlers Belohnungen erhalten. Befunde mit niedrigem Schweregrad, die „begrenzter Umfang“ oder „schwer auszunutzen“ sind, könnten bis zu 500 US-Dollar einbringen, mittlere bis zu 2.500 US-Dollar, hohe bis zu 10.000 US-Dollar und kritische Ergebnisse die Obergrenze von 20.000 US-Dollar.
Der Blog-Beitrag skizzierte auch neue Vorgehensweisen zum Auffinden anderer Schwachstellen, etwa Entwicklungsrichtlinien mit zusätzlichen Codeüberprüfungen, das Hinzufügen sicherheitsspezifischer Code-Audits und die Einstellung neuer Mitarbeiter für das Sicherheitstechnikteam.
