Mozilla Maatskappy
Sulke meganismes sluit 'n stelsel in om HTML-fragmente skoon te maak voor gebruik in 'n bevoorregte konteks, die deel van geheue vir DOM-nodusse en stringe/ArrayBuffers, die verbod op eval() in die stelselkonteks en ouerproses, die toepassing van streng CSP (Content Security Policy) beperkings op diens " oor" bladsye :", wat die laai van ander bladsye as "chrome://", "resource://" en "about:" in die ouerproses verbied, die uitvoering van eksterne JavaScript-kode in die ouerproses verbied, voorreg omseil skeidingsmeganismes (gebruik om die koppelvlakblaaier te bou) en onbevoorregte JavaScript-kode. 'n Voorbeeld van 'n fout wat sal kwalifiseer vir die betaling van 'n nuwe vergoeding is:
Deur 'n kwesbaarheid te identifiseer en uitbuitingsbeskermingsmeganismes te omseil, sal die navorser 'n bykomende 50% van die basisbeloning kan ontvang,
Boonop word gerapporteer dat die reëls vir die toepassing van die oorvloedprogram op kwesbaarhede wat in nagtelike geboue geïdentifiseer is, verander het. Daar word kennis geneem dat sulke kwesbaarhede dikwels onmiddellik opgespoor word tydens interne outomatiese kontrole en fuzzing toetsing. Verslae van sulke foute lei nie tot verbeterings in Firefox-sekuriteit of vervaagde toetsmeganismes nie, so belonings vir kwesbaarhede in nagtelike bouwerk sal slegs betaal word as die probleem vir meer as 4 dae in die hoofbewaarplek aanwesig was en nie deur interne geïdentifiseer is nie. tjeks en Mozilla-werknemers.
Bron: opennet.ru