Mozilla Company om at udvide initiativet til at betale kontante belønninger for at identificere sikkerhedsproblemer i Firefox. Ud over direkte sårbarheder vil Bug Bounty-programmet nu dække omgå mekanismer i browseren, der forhindrer udnyttelser i at virke.
Sådanne mekanismer inkluderer et system til rensning af HTML-fragmenter før brug i en privilegeret kontekst, deling af hukommelse til DOM-noder og strenge/ArrayBuffere, forbud mod eval() i systemkonteksten og overordnet proces, anvendelse af strenge CSP-restriktioner (Content Security Policy) på tjenesten " om" sider :", der forbyder indlæsning af andre sider end "chrome://", "ressource://" og "om:" i den overordnede proces, forbyder eksekvering af ekstern JavaScript-kode i den overordnede proces, omgå privilegier separationsmekanismer (bruges til at bygge grænsefladebrowseren) og uprivilegeret JavaScript-kode. Et eksempel på en fejl, der ville kvalificere til betaling af et nyt vederlag er: søger efter eval() i Web Worker-tråde.
Ved at identificere en sårbarhed og omgå udnyttelsesbeskyttelsesmekanismer, vil forskeren være i stand til at modtage yderligere 50 % af basisbelønningen, for en identificeret sårbarhed (for eksempel for en UXSS-sårbarhed, der omgår , kan du få $7000 plus en $3500 bonus). Det er bemærkelsesværdigt, at udvidelsen af det uafhængige forskerkompensationsprogram kommer på baggrund af de seneste 250 Mozilla-ansatte, hvorunder hele Trusselsledelsen, som var involveret i at identificere og analysere hændelser, samt Sikkerhedsteam.
Derudover rapporteres det, at reglerne for anvendelse af bounty-programmet på sårbarheder identificeret i natlige builds er ændret. Det bemærkes, at sådanne sårbarheder ofte opdages med det samme under interne automatiserede kontroller og fuzzing-tests. Rapporter om sådanne fejl fører ikke til forbedringer i Firefox-sikkerhed eller fuzz-testmekanismer, så belønninger for sårbarheder i natlige builds vil kun blive udbetalt, hvis problemet har været til stede i hovedlageret i mere end 4 dage og ikke er blevet identificeret af internt checks og Mozilla-medarbejdere.
Kilde: opennet.ru