Mozilla Maatskappy oor die uitbreiding van die inisiatief om kontantbelonings te betaal vir die identifisering van sekuriteitsprobleme in Firefox. Benewens direkte kwesbaarhede, sal die Bug Bounty-program nou dek meganismes in die blaaier omseil wat verhoed dat uitbuitings werk.
Sulke meganismes sluit 'n stelsel in om HTML-fragmente skoon te maak voor gebruik in 'n bevoorregte konteks, die deel van geheue vir DOM-nodusse en stringe/ArrayBuffers, die verbod op eval() in die stelselkonteks en ouerproses, die toepassing van streng CSP (Content Security Policy) beperkings op diens " oor" bladsye :", wat die laai van ander bladsye as "chrome://", "resource://" en "about:" in die ouerproses verbied, die uitvoering van eksterne JavaScript-kode in die ouerproses verbied, voorreg omseil skeidingsmeganismes (gebruik om die koppelvlakblaaier te bou) en onbevoorregte JavaScript-kode. 'n Voorbeeld van 'n fout wat sal kwalifiseer vir die betaling van 'n nuwe vergoeding is: kyk vir eval() in Web Worker-drade.
Deur 'n kwesbaarheid te identifiseer en uitbuitingsbeskermingsmeganismes te omseil, sal die navorser 'n bykomende 50% van die basisbeloning kan ontvang, vir 'n geïdentifiseerde kwesbaarheid (byvoorbeeld vir 'n UXSS-kwesbaarheid wat die , kan jy $7000 plus 'n $3500 bonus kry). Dit is opmerklik dat die uitbreiding van die onafhanklike navorservergoedingsprogram teen die agtergrond van die onlangse 250 Mozilla-werknemers, waaronder die hele Bedreigingsbestuurspan, wat betrokke was by die identifisering en ontleding van voorvalle, asook Sekuriteitspan.
Boonop word gerapporteer dat die reëls vir die toepassing van die oorvloedprogram op kwesbaarhede wat in nagtelike geboue geïdentifiseer is, verander het. Daar word kennis geneem dat sulke kwesbaarhede dikwels onmiddellik opgespoor word tydens interne outomatiese kontrole en fuzzing toetsing. Verslae van sulke foute lei nie tot verbeterings in Firefox-sekuriteit of vervaagde toetsmeganismes nie, so belonings vir kwesbaarhede in nagtelike bouwerk sal slegs betaal word as die probleem vir meer as 4 dae in die hoofbewaarplek aanwesig was en nie deur interne geïdentifiseer is nie. tjeks en Mozilla-werknemers.
Bron: opennet.ru