Mozilla разшири своята програма за награди за уязвимости

Компания Mozilla обявиха за разширяване на инициативата за изплащане на парични награди за идентифициране на проблеми със сигурността във Firefox. В допълнение към преките уязвимости, програмата Bug Bounty вече ще обхваща методи заобикаляне на механизми в браузъра, които предотвратяват работата на експлойтите.

Такива механизми включват система за почистване на HTML фрагменти преди използване в привилегирован контекст, споделяне на памет за DOM възли и низове/ArrayBuffers, забрана на eval() в контекста на системата и родителския процес, прилагане на строги CSP (Правила за сигурност на съдържанието) ограничения към услугата “ about” pages :", забраняващ зареждането на страници, различни от "chrome://", "resource://" и "about:" в родителския процес, забраняващ изпълнението на външен JavaScript код в родителския процес, заобикаляйки привилегията механизми за разделяне (използвани за изграждане на браузъра на интерфейса) и непривилегирован код на JavaScript. Пример за грешка, която отговаря на изискванията за изплащане на ново възнаграждение е: забравен проверка за eval() в нишките на Web Worker.

Чрез идентифициране на уязвимост и заобикаляне на механизмите за защита от експлойт, изследователят ще може да получи допълнителни 50% от основната награда, възложена за идентифицирана уязвимост (например за UXSS уязвимост, която заобикаля HTML Sanitizer, можете да получите $7000 плюс $3500 бонус). Трябва да се отбележи, че разширяването на програмата за компенсиране на независими изследователи идва на фона на неотдавнашните съкращения 250 служители на Mozilla, под които хит целият екип за управление на заплахите, който участваше в идентифицирането и анализирането на инциденти, както и част от екипа Екип по сигурността.

Освен това се съобщава, че правилата за прилагане на програмата за награди за уязвимости, идентифицирани при нощни компилации, са се променили. Отбелязва се, че такива уязвимости често се откриват незабавно по време на вътрешни автоматизирани проверки и тестване на fuzzing. Докладите за такива грешки не водят до подобрения в сигурността на Firefox или механизмите за тестване на fuzz, така че наградите за уязвимости в нощните компилации ще се изплащат само ако проблемът присъства в основното хранилище повече от 4 дни и не е идентифициран от вътрешни проверки и служители на Mozilla.

Източник: opennet.ru