0
dark
Izabrano samo za vas Najčitanije vijesti
2 minute read

Arc preglednik pokreće program nagrađivanja za pronalaženje grešaka nakon zabrinjavajućih problema

2 listopada, 2024
Total
0
Shares
0
0
0
0
0

Zarađivanje kroz pronalaženje grešaka u Arc pregledniku

Pretraživači sigurnosti sada imaju priliku zarađivati novac pronalaskom grešaka u Arc pregledniku, otkrila je tvrtka. The Browser Company, vlasnici i održavatelji ovog softverskog alata, najavili su novi program nagrada kako bi zatvorili opasne sigurnosne rupe. Ovaj program je nazvan Arc Bug Bounty Program i omogućava korisnicima da istražuju greške na macOS-u, Windows-u i u Arc Search funkciji na iOS platformi.

Kako funkcionira program nagrada?

U okviru Arc Bug Bounty programa, istraživači sigurnosti mogu zaraditi različite iznose ovisno o težini otkrivene ranjivosti:

  • Manje ranjivosti: do 500 USD
  • Srednje ranjivosti: između 500 i 2500 USD
  • Teške ranjivosti: između 2500 i 10,000 USD
  • Kritične ranjivosti: između 10,000 i 20,000 USD

Kritična ranjivost koja omogućava potpuni pristup sustavu ili može imati značajan utjecaj nudi najveće nagrade, što može biti značajan motiv za istraživače.

Povod pokretanju programa nagrada

The Browser Company odlučila je pokrenuti vlastiti program nagrada nakon što su saznali za ranjivost označenu kao CVE-2024-45489. Ova kritična ranjivost je utjecala na verzije prije 26. kolovoza 2024, omogućujući udaljenu izvršavanje koda putem JavaScript pojačavača. U Arc pregledniku, “Boosts” su alati koji korisnicima omogućuju prilagodbu web stranica promjenom njihovog izgleda ili funkcionalnosti.

Kako je ranjivost otkrivena?

Problem je proizlazio iz pogrešno konfiguriranih Firebase kontrolnih lista pristupa (ACL), koje su napadačima omogućivale da kreiraju ili ažuriraju JavaScript pojačivač koristeći ID drugog korisnika. To je dovelo do zlonamjernog instaliranja pojačivača u pregledniku žrtve, gdje se izvršavao proizvoljni kod s povišenim privilegijama.

Unatoč ozbiljnosti, ova ranjivost se klasificira kao “problem bez akcije”, što znači da nema pogođenih korisnika zahvaljujući zaštitama u oblaku. To je vjerojatno razlog zašto je istraživaču koji je otkrio ranjivost dodijeljeno samo 2,000 USD.

Kako se ranjivost ispravila?

Greška je riješena krajem kolovoza 2024. godine, onemogućavanjem automatske sinkronizacije Boost-a s JavaScript-om. Osim toga, krajem prošlog mjeseca, tim je dodao mogućnost onemogućavanja svih funkcija vezanih uz Boost.

Zaključak

Arc Bug Bounty Program predstavlja odličnu priliku za istraživače sigurnosti da doprinosom poboljšaju sigurnost preglednika dok istovremeno zarađuju. Osim toga, takvi programi pomažu u skaladu s promjenjivim prijetnjama, osiguravajući sigurnije iskustvo za sve korisnike.

Total
0
Shares
Share 0
Tweet 0
Share 0
Share 0
Share 0
Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)

Previous Post

Planira li AMD sukob s Appleom i Nvidiom sa svojim najmoćnijim APU-om ikad? Ryzen AI Max+ 395 navodno podržava 96 GB RAM-a i mogao bi pokretati masivne LLM-ove u memoriji bez potrebe za dediciranim AI GPU-om

2 listopada, 2024
2 minute read
Next Post

Google navodno radi na vlastitoj ‘mislilačkoj’ AI kako bi se suprotstavio OpenAI-u

2 listopada, 2024
2 minute read
Related Posts