Společnost Mozilla
Mezi takové mechanismy patří systém čištění fragmentů HTML před použitím v privilegovaném kontextu, sdílení paměti pro uzly a řetězce DOM/ArrayBuffery, zákaz eval() v systémovém kontextu a nadřazeném procesu, uplatňování přísných omezení CSP (Content Security Policy) na službu “ o“ stránky :“, zákaz načítání jiných stránek než „chrome://“, „resource://“ a „about:“ v nadřazeném procesu, zákaz spouštění externího kódu JavaScript v nadřazeném procesu, obcházení oprávnění separační mechanismy (používané k sestavení prohlížeče rozhraní) a neprivilegovaný kód JavaScript. Příkladem chyby, která by způsobila vyplacení nové odměny, je:
Identifikací zranitelnosti a obcházením mechanismů ochrany proti zneužití bude výzkumník moci získat dalších 50 % základní odměny,
Kromě toho se uvádí, že se změnila pravidla pro použití programu odměn na zranitelnosti zjištěné v nočních sestaveních. Je třeba poznamenat, že taková zranitelnost jsou často okamžitě detekována během interních automatických kontrol a fuzzing testování. Hlášení takových chyb nevedou ke zlepšení zabezpečení Firefoxu nebo mechanismů testování fuzz, takže odměny za zranitelnosti v nočních sestaveních budou vyplaceny pouze v případě, že problém existuje v hlavním úložišti déle než 4 dny a nebyl identifikován interními šeků a zaměstnanců Mozilly.
Zdroj: opennet.ru