Mozilla şirkəti
Belə mexanizmlərə imtiyazlı kontekstdə istifadə etməzdən əvvəl HTML fraqmentlərinin təmizlənməsi sistemi, DOM qovşaqları və sətirlər/ArrayBuferlər üçün yaddaşın paylaşılması, sistem kontekstində və ana prosesdə eval() funksiyasının söndürülməsi, xidmətə ciddi CSP (Məzmun Təhlükəsizliyi Siyasəti) məhdudiyyətlərinin tətbiqi daxildir. haqqında” səhifələr :", ana prosesdə "chrome://", "resource://" və "haqqında:" xaricindəki səhifələrin yüklənməsini qadağan edir, ana prosesdə xarici JavaScript kodunun icrasını qadağan edir, imtiyazları aşaraq ayırma mexanizmləri (interfeys brauzerinin qurulması üçün istifadə olunur) və imtiyazsız JavaScript kodu. Yeni mükafatın ödənilməsinə uyğun gələn səhvə misal olaraq:
Zəifliyi müəyyən edərək və istismardan qorunma mexanizmlərindən yan keçməklə, tədqiqatçı əsas mükafatın əlavə 50%-ni ala biləcək,
Bundan əlavə, gecə qurulmalarında müəyyən edilən zəifliklərə mükafat proqramının tətbiqi qaydalarında dəyişiklik edildiyi bildirilir. Qeyd olunur ki, bu cür boşluqlar çox vaxt daxili avtomatlaşdırılmış yoxlamalar və fuzzing testləri zamanı dərhal aşkar edilir. Bu cür səhvlər haqqında hesabatlar Firefox təhlükəsizliyinin təkmilləşdirilməsinə və ya qeyri-müəyyən sınaq mexanizmlərinə gətirib çıxarmır, buna görə də gecə qurulmalarında zəifliklərə görə mükafatlar yalnız problem 4 gündən çox əsas depoda mövcud olduqda və daxili işçilər tərəfindən müəyyən edilmədikdə ödəniləcək. çeklər və Mozilla işçiləri.
Mənbə: opennet.ru