Pencipta Arc, The Browser Company, secara resmi telah memulai program bug bounty untuk menjaga keamanan browser berbasis Chromium yang terus berkembang. Perusahaan juga meluncurkan buletin keamanan baru untuk menjaga “komunikasi yang transparan dan proaktif” dengan pengguna dan peneliti mengenai perbaikan bug dan laporan.
Revisi keamanan ini mengikuti bug buruk yang ditemukan dan dilaporkan oleh peneliti kepada perusahaan yang memungkinkan pelaku jahat memasukkan kode arbitrer ke browser siapa pun hanya dengan mengetahui ID pengguna mereka yang mudah ditemukan.
Masalahnya ada di dalam fitur Arc Boosts yang memungkinkan Anda menyesuaikan situs web apa pun dengan CSS dan Javascript. Selain mitigasi awal, perusahaan mengatakan kini telah menonaktifkan Boosts dengan Javascript secara default dan menambahkan tombol global baru untuk mematikan Boosts sepenuhnya di Arc versi 1.61.2.
Peneliti, yang dikenal sebagai xyz3va, awalnya dibayar hadiah $2.000 untuk informasi tersebut. Sekarang, dengan adanya program baru, The Browser Company menaikkannya menjadi $20.000 secara surut. Kerentanan telah ditambal pada tanggal 26 Agustus.
Dengan program baru ini, peneliti keamanan dapat mengirimkan laporan dan mendapatkan imbalan berdasarkan tingkat keparahan bug. Temuan tingkat keparahan rendah yang “cakupannya terbatas” atau “sulit untuk dieksploitasi” dapat menghasilkan hingga $500, Medium mendapat hingga $2,500, Tinggi hingga $10,000, dan Critical mendapatkan batas atas $20,000.
Postingan blog tersebut juga menguraikan praktik baru untuk menemukan kerentanan lain, seperti pedoman pengembangan dengan tinjauan kode tambahan, menambahkan audit kode khusus keamanan, dan mempekerjakan staf baru untuk tim teknik keamanan.