Společnost Mozilla o rozšíření iniciativy vyplácení peněžních odměn za identifikaci bezpečnostních problémů ve Firefoxu. Kromě přímých zranitelností se nyní program Bug Bounty bude týkat obcházení mechanismů v prohlížeči, které brání fungování exploitů.
Mezi takové mechanismy patří systém čištění fragmentů HTML před použitím v privilegovaném kontextu, sdílení paměti pro uzly a řetězce DOM/ArrayBuffery, zákaz eval() v systémovém kontextu a nadřazeném procesu, uplatňování přísných omezení CSP (Content Security Policy) na službu “ o“ stránky :“, zákaz načítání jiných stránek než „chrome://“, „resource://“ a „about:“ v nadřazeném procesu, zákaz spouštění externího kódu JavaScript v nadřazeném procesu, obcházení oprávnění separační mechanismy (používané k sestavení prohlížeče rozhraní) a neprivilegovaný kód JavaScript. Příkladem chyby, která by způsobila vyplacení nové odměny, je: kontrola eval() ve vláknech Web Worker.
Identifikací zranitelnosti a obcházením mechanismů ochrany proti zneužití bude výzkumník moci získat dalších 50 % základní odměny, pro identifikovanou zranitelnost (například pro zranitelnost UXSS, která obchází , můžete získat 7000 3500 $ plus bonus XNUMX XNUMX $). Je pozoruhodné, že expanze programu odměňování nezávislých výzkumných pracovníků přichází na pozadí nedávné doby 250 zaměstnanců Mozilly, pod nimiž celý tým Threat management, který se podílel na identifikaci a analýze incidentů, a také Bezpečnostní tým.
Kromě toho se uvádí, že se změnila pravidla pro použití programu odměn na zranitelnosti zjištěné v nočních sestaveních. Je třeba poznamenat, že taková zranitelnost jsou často okamžitě detekována během interních automatických kontrol a fuzzing testování. Hlášení takových chyb nevedou ke zlepšení zabezpečení Firefoxu nebo mechanismů testování fuzz, takže odměny za zranitelnosti v nočních sestaveních budou vyplaceny pouze v případě, že problém existuje v hlavním úložišti déle než 4 dny a nebyl identifikován interními šeků a zaměstnanců Mozilly.
Zdroj: opennet.ru