يضيف متصفح Arc النشرات الأمنية ومكافآت الأخطاء
قامت شركة المتصفح رسميًا بإنشاء Arc بدأ برنامج مكافأة الأخطاء للحفاظ على أمان المتصفح المتنامي المستند إلى Chromium تحت المراقبة. تطلق الشركة أيضًا نشرة أمنية جديدة للحفاظ على “التواصل الشفاف والاستباقي” مع المستخدمين والباحثين بشأن إصلاحات الأخطاء والتقارير. وتبعت هذه المراجعات الأمنية علة مدمرة اكتشف أحد الباحثين وأبلغ الشركة بأن ذلك سيسمح للجهات الفاعلة السيئة بإدخال تعليمات برمجية عشوائية في متصفح أي شخص فقط من خلال معرفة معرف المستخدم الذي يمكن العثور عليه بسهولة. تكمن المشكلة في ميزة Arc Boosts التي تتيح لك تخصيص أي موقع ويب باستخدام CSS وJavascript. علاوة على إجراءات التخفيف الأولية، تقول الشركة إنها قامت الآن بتعطيل Boosts مع Javascript افتراضيًا وأضافت تبديلًا عالميًا جديدًا لإيقاف Boosts تمامًا في إصدار Arc 1.61.2. وقد حصل الباحث، المعروف باسم xyz3va، في البداية على مكافأة قدرها 2000 دولار للحصول على المعلومات. الآن، مع وجود البرنامج الجديد، أصبحت شركة المتصفح ورفعها إلى 20 ألف دولار بأثر رجعي. تم تصحيح الثغرة الأمنية في 26 أغسطس. ومع البرنامج الجديد، يمكن للباحثين الأمنيين إرسال التقارير والحصول على مكافآت بناءً على خطورة الثغرة. يمكن أن تصل النتائج منخفضة الخطورة التي تعتبر “نطاقًا محدودًا” أو “يصعب استغلالها” إلى ما يصل إلى 500 دولار، والنتائج المتوسطة تصل إلى 2500 دولار، والنتائج العالية تصل إلى 10000 دولار، والنتائج الحرجة تصل إلى 20000 دولار. كما أوضح منشور المدونة أيضًا ممارسات جديدة للعثور على ثغرات أمنية أخرى ، مثل إرشادات التطوير مع مراجعات التعليمات البرمجية الإضافية، وإضافة عمليات تدقيق التعليمات البرمجية الخاصة بالأمان، وتعيين موظفين جدد لفريق هندسة الأمان.
المصدر
