O navegador Arc adiciona boletins de segurança e recompensas de bugs #ÚltimasNotícias #tecnologia

O criador do Arc, The Browser Company, iniciou oficialmente um programa de recompensa de bugs para manter sob controle a segurança de seu crescente navegador baseado em Chromium. A empresa também está lançando um novo boletim de segurança para manter “comunicação transparente e proativa” com usuários e pesquisadores sobre correções de bugs e relatórios.

Essas revisões de segurança seguiram um bug devastador que um pesquisador encontrou e relatou à empresa que teria permitido que atores mal-intencionados inserissem código arbitrário no navegador de qualquer pessoa apenas sabendo seu ID de usuário facilmente localizável.

O problema residia no recurso Arc Boosts, que permite personalizar qualquer site com CSS e Javascript. Além de suas mitigações iniciais, a empresa diz que agora desativou Boosts com Javascript por padrão e adicionou uma nova alternância global para desligar completamente os Boosts no Arc versão 1.61.2.

O pesquisador, conhecido como xyz3va, recebeu inicialmente uma recompensa de US$ 2 mil pela informação. Agora, com o novo programa em vigor, a The Browser Company está aumentando o valor retroativamente para US$ 20.000. A vulnerabilidade foi corrigida em 26 de agosto.

Com o novo programa, os pesquisadores de segurança podem enviar relatórios e receber recompensas com base na gravidade do bug. As descobertas de baixa gravidade que são de “escopo limitado” ou “difíceis de explorar” podem chegar a US$ 500, as médias chegam a US$ 2.500, as altas até US$ 10.000 e as críticas ganham o teto de US$ 20.000.

A postagem do blog também descreveu novas práticas para encontrar outras vulnerabilidades, como diretrizes de desenvolvimento com revisões de código adicionais, adição de auditorias de código específicas de segurança e contratação de novos funcionários para a equipe de engenharia de segurança.