Los investigadores de seguridad ahora pueden ganar dinero encontrando errores en Arc navegadorha revelado la empresa.
The Browser Company, los propietarios y mantenedores del software, han anunciado un nuevo programa de recompensas para ayudarles a tapar agujeros peligrosos.
Llamado de manera poco imaginativa Programa Arc Bug Bounty, los usuarios pueden buscar errores en MacOs y Windows, y en Arc Search en la plataforma iOS.
Defectos del navegador Arc
Dependiendo de la gravedad de la vulnerabilidad descubierta, los investigadores pueden esperar diferentes pagos.
Las emisiones de baja gravedad pueden generarles hasta $500, las medianas entre $500 y $2500, mientras que las altas pagan entre $2500 y $10 000. Descubrir una vulnerabilidad crítica, que otorga acceso completo al sistema o que de otro modo puede tener un impacto significativo, paga entre $ 10 000 y $ 20 000.
The Browser Company decidió configurar su propio programa de recompensas por errores después de recibir un aviso sobre CVE-2024-45489.
Esta fue una vulnerabilidad crítica que afectó a las versiones anteriores al 26 de agosto de 2024, lo que permitió la ejecución remota de código a través de mejoras de JavaScript. En el navegador Arc, los “Boosts” son herramientas que permiten a los usuarios personalizar sitios web cambiando su apariencia o funcionalidad.
El problema surge de las Listas de control de acceso (ACL) de Firebase mal configuradas, que permiten a los atacantes crear o actualizar un impulso de JavaScript utilizando la identificación de otro usuario. Esto conduce a la instalación maliciosa del boost en el navegador de la víctima, donde ejecuta código arbitrario con privilegios elevados. A pesar de la gravedad, esta vulnerabilidad se clasifica como un problema de “no acción”, lo que significa que no hay ningún usuario afectado debido a las protecciones de la nube. Probablemente esta sea también la razón por la que el investigador que reveló la vulnerabilidad sólo recibió 2.000 dólares por su descubrimiento.
El error se solucionó a finales de agosto de 2024 deshabilitando la sincronización automática de Boosts con JavaScript. Además, a fines del mes pasado, el equipo agregó una opción para desactivar todas las funciones relacionadas con Boost.
A través de pitidocomputadora
