Arc の作成者である The Browser Company が公式にバグ報奨金プログラムを開始しました成長を続ける Chromium ベースのブラウザのセキュリティを抑制するためです。同社はまた、バグ修正やレポートに関してユーザーや研究者との「透明性のある積極的なコミュニケーション」を維持するために、新しいセキュリティ情報を発表します。

これらのセキュリティリビジョンが続きました壊滅的なバグある研究者は、簡単に見つけられるユーザー ID を知るだけで、悪意のある者が誰のブラウザに任意のコードを挿入できる可能性があることを発見し、同社に報告しました。

この問題は、CSS と Javascript を使用して Web サイトをカスタマイズできる Arc Boosts 機能内に存在していました。同社は、初期の緩和策に加えて、JavaScript によるブーストをデフォルトで無効にし、Arc バージョン 1.61.2 でブーストを完全にオフにする新しいグローバル トグルを追加したと述べています。

xyz3va として知られるこの研究者には、当初、その情報に対して 2,000 ドルの報奨金が支払われました。新しいプログラムが導入された今、The Browser Company は遡及して20,000ドルに引き上げる。この脆弱性は 8 月 26 日に修正されました。

新しいプログラムを使用すると、セキュリティ研究者はレポートを提出し、バグの重大度に基づいて報酬を受け取ることができます。「範囲が限られている」または「悪用が難しい」重大度の低い調査結果は最大 500 ドル、中は最大 2,500 ドル、高は最大 10,000 ドル、重大度は 20,000 ドルの上限を獲得する可能性があります。

このブログ投稿では、追加のコードレビューを含む開発ガイドライン、セキュリティ固有のコード監査の追加、セキュリティエンジニアリングチームの新しいスタッフの雇用など、他の脆弱性を発見するための新しい実践方法についても概説しました。