外星人S博士
Arc的创始公司The Browser Company正式启动了一项漏洞奖励计划,以确保其基于Chromium的浏览器的安全性。该公司还发布了新的安全公告,以保持与用户和研究人员之间的“透明和主动沟通”,并对漏洞修复情况进行报告。这些安全修订是在一名研究人员发现并报告的严重漏洞之后进行的,该漏洞允许恶意行为者仅通过知道用户的易获取ID将任意代码插入任何人的浏览器。 该问题存在于Arc的Boosts功能内,该功能允许用户使用CSS和Javascript自定义任何网站。除了最初的缓解措施外,该公司表示,现在默认禁用了带有Javascript的Boosts,并新增了一个全局开关以在Arc版本1.61.2中完全关闭Boosts。该研究人员xyz3va最初因提供信息而获得2000刀的奖励,现在在新计划推出后,The Browser Company将这一奖励追溯提高到2万刀。 该漏洞已于8月26日修复。上周五,我们承诺对@browsercompany的安全进行改进。一周后,行动已启动:✅ Arc的漏洞奖励计划已上线 ✅ Arc的安全公告已发布 ✅ 我们重新设计了内部安全流程将会有更多更新,详细信息请见推文。 通过新计划,安全研究人员可以提交报告,并根据漏洞的严重性获得奖励。轻微严重性的发现如果“范围有限”或“难以利用”可获得最高500刀,中等严重性可得最高2500刀,高严重性可得最高10000刀,关键严重性则可获得最高2万刀。该博客文章还概述了一种发现其他漏洞的新做法,例如新增的编码审查、增加安全专用的代码审计以及为安全工程团队招聘新员工。
