Twórca łuku The Browser Company oficjalnie to zrobił uruchomił program nagród za błędy aby kontrolować bezpieczeństwo rosnącej przeglądarki opartej na Chromium. Firma publikuje także nowy biuletyn dotyczący bezpieczeństwa, aby zapewnić „przejrzystą i proaktywną komunikację” z użytkownikami i badaczami w sprawie poprawek błędów i raportów.
Następnie pojawiły się te poprawki dotyczące bezpieczeństwa niszczycielski błąd badacz znalazł i zgłosił do firmy, która pozwoliła złym aktorom na wstawienie dowolnego kodu do dowolnej przeglądarki po prostu znając ich łatwy do znalezienia identyfikator użytkownika.
Problem tkwił w funkcji Arc Boosts, która pozwala dostosować dowolną witrynę internetową dzięki CSS i JavaScript. Oprócz początkowych środków zaradczych firma twierdzi, iż teraz domyślnie wyłączyła funkcję Boost z JavaScript i dodała nowy globalny przełącznik, aby całkowicie wyłączyć funkcję Boost w Arc w wersji 1.61.2.
Badaczowi, znanemu jako xyz3va, początkowo zapłacono nagrodę w wysokości 2000 dolarów za informacje. Teraz, po wdrożeniu nowego programu, działa firma The Browser Company podnosząc ją z mocą wsteczną do 20 000 dolarów. Luka została załatana 26 sierpnia.
Dzięki nowemu programowi badacze bezpieczeństwa mogą przesyłać raporty i otrzymywać nagrody w zależności od wagi błędu. Wyniki o niskiej wadze, które mają „ograniczony zakres” lub „trudne do wykorzystania”, mogą wynieść do 500 USD, Średnie – do 2500 USD, Wysokie – do 10 000 USD, a Krytyczne – maksymalnie 20 000 USD.
W poście na blogu omówiono także nowe praktyki wyszukiwania innych luk w zabezpieczeniach, takie jak wytyczne programistyczne z dodatkowymi przeglądami kodu, dodawanie audytów kodu specyficznych dla bezpieczeństwa oraz zatrudnianie nowego personelu do zespołu inżynierów bezpieczeństwa.