/cdn.vox-cdn.com/uploads/chorus_asset/file/25631555/STK283_ARC_BROWSER_B.jpg)
Pencipta Arc The Browser Company telah resmi memulai program bounty bug untuk menjaga keamanan browser berbasis Chromium yang berkembang agar tetap terkendali. Perusahaan juga meluncurkan bulletin keamanan baru untuk menjaga “komunikasi transparan dan proaktif” dengan pengguna dan peneliti mengenai perbaikan bug dan laporan.
Revisi keamanan ini mengikuti bug yang menghancurkan yang ditemukan oleh seorang peneliti dan dilaporkan kepada perusahaan yang seharusnya memungkinkan pelaku jahat untuk menyisipkan kode sembarangan ke dalam browser siapa pun hanya dengan mengetahui ID pengguna mereka yang mudah ditemukan.
Masalah tersebut berada di dalam fitur Arc Boosts yang memungkinkan Anda menyesuaikan situs web apa pun dengan CSS dan Javascript. Selain mitigasi awalnya, perusahaan mengatakan sekarang telah menonaktifkan Boosts dengan Javascript secara default dan menambahkan toggle global baru untuk mematikan Boosts sepenuhnya dalam versi Arc 1.61.2.
Peneliti, yang dikenal sebagai xyz3va, awalnya dibayar bounty $2,000 untuk informasinya. Sekarang, dengan program baru ini, The Browser Company meningkatkannya menjadi $20,000 secara retroaktif. Kerentanan tersebut diperbaiki pada 26 Agustus.
Dengan program baru ini, peneliti keamanan dapat mengirimkan laporan dan mendapatkan imbalan berdasarkan tingkat keparahan bug. Temuan tingkat rendah yang “lingkupnya terbatas” atau “sulit untuk dieksploitasi” bisa mendapatkan hingga $500, Menengah mendapatkan hingga $2,500, Tinggi hingga $10,000, dan Kritis mendapatkan batas $20,000.
Pos blog juga menjabarkan praktik baru untuk menemukan kerentanan lain, seperti pedoman pengembangan dengan peninjauan kode tambahan, menambahkan audit kode khusus keamanan, dan merekrut staf baru untuk tim rekayasa keamanan.