Le créateur d’Arc, The Browser Company, a officiellement a lancé un programme de bug bounty pour contrôler la sécurité croissante de son navigateur basé sur Chromium. La société lance également un nouveau bulletin de sécurité pour maintenir une « communication transparente et proactive » avec les utilisateurs et les chercheurs sur les corrections de bogues et les rapports.
Ces révisions de sécurité faisaient suite à un bug dévastateur découvert par un chercheur et signalé à l’entreprise, qui aurait permis à de mauvais acteurs d’insérer du code arbitraire dans le navigateur de n’importe qui simplement en connaissant leur identifiant d’utilisateur facilement trouvable.
Le problème résidait dans la fonctionnalité Arc Boosts qui vous permet de personnaliser n’importe quel site Web avec CSS et Javascript. En plus de ses atténuations initiales, la société affirme avoir désormais désactivé les Boosts avec Javascript par défaut et ajouté une nouvelle bascule globale pour désactiver complètement les Boosts dans Arc version 1.61.2.
Le chercheur, connu sous le nom de xyz3va, a initialement reçu une prime de 2 000 $ pour ces informations. Désormais, avec le nouveau programme en place, The Browser Company est l’augmenter à 20 000 $ rétroactivement. La vulnérabilité a été corrigée le 26 août.
Avec le nouveau programme, les chercheurs en sécurité peuvent soumettre des rapports et obtenir des récompenses en fonction de la gravité du bug. Les résultats de faible gravité qui ont une « portée limitée » ou « difficiles à exploiter » pourraient atteindre jusqu’à 500 $, les résultats moyens jusqu’à 2 500 $, les résultats élevés jusqu’à 10 000 $ et les résultats critiques jusqu’à 20 000 $.
Le billet de blog décrit également de nouvelles pratiques pour détecter d’autres vulnérabilités, telles que des directives de développement avec des révisions de code supplémentaires, l’ajout d’audits de code spécifiques à la sécurité et l’embauche de nouveau personnel pour l’équipe d’ingénierie de sécurité.