Mozilla Company o proširenju inicijative za isplatu novčanih nagrada za identifikaciju sigurnosnih problema u Firefoxu. Pored direktnih ranjivosti, program Bug Bounty će sada pokrivati zaobilazeći mehanizme u pretraživaču koji sprečavaju rad eksploata.
Takvi mehanizmi uključuju sistem za čišćenje HTML fragmenata prije upotrebe u privilegovanom kontekstu, dijeljenje memorije za DOM čvorove i stringove/ArrayBuffers, zabranu eval() u kontekstu sistema i roditeljskog procesa, primjenu strogih CSP (Politika sigurnosti sadržaja) ograničenja na uslugu “ about” pages:", zabranjujući učitavanje stranica osim "chrome://", "resource://" i "about:" u nadređenom procesu, zabranjujući izvršavanje vanjskog JavaScript koda u nadređenom procesu, zaobilazeći privilegiju mehanizmi razdvajanja (koriste se za izgradnju pretraživača interfejsa) i neprivilegovani JavaScript kod. Primjer greške koja bi se kvalifikovala za isplatu nove naknade je: provjeravanje eval() u nitima Web Workera.
Identifikovanjem ranjivosti i zaobilaženjem mehanizama zaštite od eksploatacije, istraživač će moći da dobije dodatnih 50% osnovne nagrade, za identificiranu ranjivost (na primjer, za UXSS ranjivost koja zaobilazi , možete dobiti $7000 plus $3500 bonus). Važno je napomenuti da je proširenje programa kompenzacije nezavisnih istraživača u pozadini nedavnog 250 Mozilla zaposlenih, pod kojim cijeli tim za upravljanje prijetnjama, koji je bio uključen u identifikaciju i analizu incidenata, kao i Sigurnosni tim.
Osim toga, izvještava se da su promijenjena pravila za primjenu programa nagrada na ranjivosti identifikovane u noćnim gradnjama. Primjećuje se da se takve ranjivosti često odmah otkriju tokom internih automatiziranih provjera i fuzzing testiranja. Izvještaji o takvim greškama ne dovode do poboljšanja sigurnosti Firefoxa ili mehanizama testiranja fuzz, tako da će se nagrade za ranjivosti u noćnim verzijama isplaćivati samo ako je problem prisutan u glavnom spremištu duže od 4 dana i nije identificiran od strane internih čekovi i zaposlenici Mozille.
izvor: opennet.ru