Rá kell feküdni az Arc webböngésző védelmére

​Az Arc webböngésző fejlesztője is kihirdette a saját hibavadász programját.
 

Az Arc webböngésző egyre nagyobb népszerűségre tesz szert a felhasználók körében, ami egyben azzal is jár, hogy a hackerek is mind komolyabb erőforrásokat szentelnek az alkalmazás biztonsági hibáinak feltárására, kihasználására. Ezért nem meglelő, hogy a fejlesztőcégre is egyre intenzívebb nyomás hárul a biztonság terén.
 
Az Arc kapcsán augusztusban derült fény egy súlyos, jogosulatlan távoli kódfuttatásra és rendszerkompromittálásra lehetőséget adó sérülékenységre (CVE-2024-45489). Szerencsére ezt egy etikus hacker fedezte fel, és jelezte azt a fejlesztőknek, akik egy napon belül javították a hibát. A bejelentőt pedig kétezer dollárral jutalmazták.
 
Az eset apropóján a Browser Company úgy határozott, hogy szabályozni fogja a hibabejelentéseket, és egyben megpróbálja ösztönözni az etikus hackereket további problémák feltárására. Ezért elindította a saját hibavadász kezdeményezését. Ennek keretében a felfedezett sebezhetőségek kockázati besorolása alapján díjazza a résztvevőket. A legsúlyosabb biztonsági rendellenességeket kimutatók akár 10-20 ezer dollárral is gazdagodhatnak.
 
Az Arc esetében négy veszélyességi besorolással dolgoznak a fejlesztők:

• kritikus: olyan sebezhetőségek, amelyek teljes körű hozzáférést biztosítanak a fájlrendszerhez, és felhasználói közreműködés nélkül is kihasználhatók
• magas: a munkamenetek biztonságát jelentősen veszélyeztető, érzékeny adatok kiszivárogtatására alkalmas sérülékenységek
• közepes: munkamenetekhez limitált, jogosulatlan hozzáférést biztosító hibák
• alacsony: kevés kockázattal járó, kihasználásukhoz jelentős felhasználói közreműködést igénylő biztonsági rések.

 
A Browser Company a hibavadász program elindítása mellett további lépéseket tett annak érdekében, hogy fokozza az Arc biztonságát. Új kódolási irányelveket dolgozott ki, amelyek az eddigieknél nagyobb hangsúlyt helyeznek az auditálásra és a kódvizsgálatokra. Emellett az incidensreagálási folyamatokat is átalakította, hogy az egyes biztonsági problémákra gyorsabban és hatékonyabban tudjanak reagálni a fejlesztők. Nem utolsó sorban pedig elkezdte bővíteni a belső biztonsági csoportjának létszámát, hogy emberi erőforrásokban se legyen hiány e téren.