Mozilla Company
Takvi mehanizmi uključuju sistem za čišćenje HTML fragmenata prije upotrebe u privilegovanom kontekstu, dijeljenje memorije za DOM čvorove i stringove/ArrayBuffers, zabranu eval() u kontekstu sistema i roditeljskog procesa, primjenu strogih CSP (Politika sigurnosti sadržaja) ograničenja na uslugu “ about” pages:", zabranjujući učitavanje stranica osim "chrome://", "resource://" i "about:" u nadređenom procesu, zabranjujući izvršavanje vanjskog JavaScript koda u nadređenom procesu, zaobilazeći privilegiju mehanizmi razdvajanja (koriste se za izgradnju pretraživača interfejsa) i neprivilegovani JavaScript kod. Primjer greške koja bi se kvalifikovala za isplatu nove naknade je:
Identifikovanjem ranjivosti i zaobilaženjem mehanizama zaštite od eksploatacije, istraživač će moći da dobije dodatnih 50% osnovne nagrade,
Osim toga, izvještava se da su promijenjena pravila za primjenu programa nagrada na ranjivosti identifikovane u noćnim gradnjama. Primjećuje se da se takve ranjivosti često odmah otkriju tokom internih automatiziranih provjera i fuzzing testiranja. Izvještaji o takvim greškama ne dovode do poboljšanja sigurnosti Firefoxa ili mehanizama testiranja fuzz, tako da će se nagrade za ranjivosti u noćnim verzijama isplaćivati samo ako je problem prisutan u glavnom spremištu duže od 4 dana i nije identificiran od strane internih čekovi i zaposlenici Mozille.
izvor: opennet.ru