Arc añade boletines de seguridad y recompensas por errores.
Es hora de realizar cambios.
La empresa The Browser Company, creadora del navegador Arc, ha puesto en marcha un programa oficial de recompensas por errores con el objetivo de fortalecer la seguridad de su navegador basado en Chromium. Como parte de este esfuerzo, también han lanzado un nuevo boletín de seguridad que pretende fomentar una comunicación clara y proactiva con usuarios e investigadores sobre las correcciones y reportes de errores.
Este enfoque en la seguridad surge tras la detección de un grave fallo por parte de un investigador, que podría haber permitido a atacantes malintencionados insertar código arbitrario en el navegador de cualquier usuario simplemente conociendo su identificador de usuario, el cual es fácilmente accesible. La vulnerabilidad se localizaba en la funcionalidad Arc Boosts, que permite personalizar cualquier página web utilizando CSS y JavaScript. Para mitigar este problema, la empresa ha deshabilitado por defecto las Boosts con JavaScript y ha añadido una opción global que permite desactivar completamente esta función en la versión 1.61.2 de Arc.
El investigador, identificado como xyz3va, recibió originalmente una recompensa de $2,000 por su descubrimiento. Con la implementación del nuevo programa de recompensas, la empresa ha decidido incrementar esta cantidad a $20,000 de manera retroactiva. La vulnerabilidad fue corregida el 26 de agosto.
El programa de recompensas permite a los investigadores de seguridad presentar informes y recibir compensaciones en función de la gravedad de los errores. Las vulnerabilidades de baja gravedad, que sean de "alcance limitado" o "difíciles de explotar", pueden generar recompensas de hasta $500. Los hallazgos de gravedad media pueden otorgar hasta $2,500, los de alta hasta $10,000, y las vulnerabilidades críticas alcanzan el límite máximo de $20,000.
Además, el comunicado también menciona nuevas prácticas para la identificación de otras posibles vulnerabilidades, que incluyen directrices de desarrollo con revisiones de código adicionales, auditorías de código específicas para la seguridad y la contratación de nuevo personal para el equipo de ingeniería de seguridad.