最近,Arc 浏览器的开发公司 —— 浏览器公司(The Browser Company)宣布正式启动一项新的漏洞赏金计划,旨在提高其基于 Chromium 的浏览器的安全性。这项举措不仅是为了更好地保护用户,还希望通过与研究人员保持透明和主动的沟通,提升用户对安全问题的信任。
这次安全措施的推出,是在发现了一起严重漏洞后进行的。该漏洞由一位名叫 xyz3va 的研究人员发现,若不及时修复,恶意行为者可能会利用这一漏洞,通过用户的公开 ID,向任何人的浏览器中插入任意代码。这个问题出现在 Arc 的 Boosts 功能中,该功能允许用户用 CSS 和 Javascript 自定义任何网站。为了加强安全性,浏览器公司在更新版本1.61.2中,默认禁用了支持 Javascript 的 Boosts 功能,并增加了一个全局开关,以便用户可以完全关闭 Boosts。
在漏洞被报告后,浏览器公司初步给予研究人员2000美元的赏金,但随着漏洞赏金计划的启动,公司的补偿提高到了2万美元。这一漏洞在8月26日已成功修复。
新的赏金计划使得安全研究人员可以根据漏洞的严重性提交报告并获得相应的奖励。比如,对于低严重性、限制范围或难以利用的漏洞,奖励最高可达500美元;中等严重性漏洞可获得最高2500美元;高严重性漏洞可得到最高10000美元,而关键漏洞则能获得高达20000美元的奖励。
此外,浏览器公司还在其博客中详细列出了为发现其他漏洞而采取的新措施,包括开发指南、额外的代码审查、进行安全专项代码审计,以及招聘新的安全工程团队成员。这些措施不仅表明了公司的决心,也为提升整体安全性奠定了基础。
划重点:
