شركة موزيلا
تتضمن هذه الآليات نظامًا لتنظيف أجزاء HTML قبل استخدامها في سياق مميز، ومشاركة الذاكرة لعقد DOM والسلاسل/ArrayBuffers، وحظر eval() في سياق النظام والعملية الأصلية، وتطبيق قيود CSP (سياسة أمان المحتوى) الصارمة على الخدمة " "صفحات about":"، حظر تحميل صفحات أخرى غير "chrome://"، و"resource://" و"about:" في العملية الأصلية، وحظر تنفيذ تعليمات برمجية JavaScript خارجية في العملية الأصلية، وتجاوز الامتيازات آليات الفصل (المستخدمة لبناء متصفح الواجهة) وكود JavaScript غير المميز. مثال على الخطأ الذي يؤهل لصرف مكافأة جديدة:
ومن خلال تحديد الثغرة الأمنية وتجاوز آليات الحماية من استغلال الثغرات، سيتمكن الباحث من الحصول على 50% إضافية من المكافأة الأساسية.
بالإضافة إلى ذلك، تم الإبلاغ عن أن قواعد تطبيق برنامج المكافأة على نقاط الضعف التي تم تحديدها في الإصدارات الليلية قد تغيرت. تجدر الإشارة إلى أن مثل هذه الثغرات الأمنية غالبًا ما يتم اكتشافها على الفور أثناء عمليات الفحص الآلي الداخلي واختبار التشويش. لا تؤدي التقارير عن مثل هذه الأخطاء إلى تحسينات في أمان Firefox أو آليات اختبار الغموض، لذا لن يتم دفع مكافآت الثغرات الأمنية في الإصدارات الليلية إلا إذا كانت المشكلة موجودة في المستودع الرئيسي لأكثر من 4 أيام ولم يتم تحديدها بواسطة الداخليين الشيكات وموظفي موزيلا.
المصدر: opennet.ru