Arc’ın yaratıcısı The Tarayıcı Şirketi resmi olarak bir hata ödül programı başlattı Büyüyen Chromium tabanlı tarayıcısının güvenliğini kontrol altında tutmak için. Şirket ayrıca kullanıcılar ve araştırmacılarla hata düzeltmeleri ve raporlarla ilgili “şeffaf ve proaktif iletişimi” sürdürmek için yeni bir güvenlik bülteni yayınlıyor.
Bu güvenlik revizyonları, bir araştırmacının bulup şirkete bildirdiği, kötü aktörlerin yalnızca kolayca bulunabilen kullanıcı kimliklerini bilerek herkesin tarayıcısına rastgele kod eklemesine olanak tanıyan yıkıcı bir hatanın ardından geldi.
Sorun, herhangi bir web sitesini CSS ve Javascript ile özelleştirmenize olanak tanıyan Arc Boosts özelliğinde yaşandı. Başlangıçtaki hafifletmelere ek olarak şirket, Javascript ile Boost’ları varsayılan olarak devre dışı bıraktığını ve Arc sürüm 1.61.2’de Boost’ları tamamen kapatmak için yeni bir küresel geçiş eklediğini açıkladı.
Xyz3va olarak bilinen araştırmacıya başlangıçta bu bilgi için 2.000 dolar ödül verildi. Artık yeni program uygulamaya konduğunda, Tarayıcı Şirketi geriye dönük olarak 20.000 dolara çıkarmak. Güvenlik açığı 26 Ağustos’ta düzeltildi.
Yeni programla güvenlik araştırmacıları hatanın ciddiyetine göre rapor gönderebiliyor ve ödüller alabiliyor. “Sınırlı kapsam” veya “kullanımı zor” olan düşük önem dereceli bulgular 500 ABD Dolarına, Orta 2.500 ABD Dolarına, Yüksek 10.000 ABD Dolarına ve Kritik 20.000 ABD Dolarına kadar tavan kazanabilir.
Blog gönderisinde ayrıca ek kod incelemeleri içeren geliştirme yönergeleri, güvenliğe özel kod denetimleri ekleme ve güvenlik mühendisliği ekibi için yeni personel işe alma gibi diğer güvenlik açıklarını bulmaya yönelik yeni uygulamalar da özetlendi.