Mozilla-Unternehmen über die Ausweitung der Initiative zur Auszahlung von Geldprämien für das Erkennen von Sicherheitsproblemen in Firefox. Zusätzlich zu den direkten Schwachstellen deckt das Bug-Bounty-Programm nun auch Schwachstellen ab Umgehung von Mechanismen im Browser, die verhindern, dass Exploits funktionieren.
Zu diesen Mechanismen gehören ein System zum Bereinigen von HTML-Fragmenten vor der Verwendung in einem privilegierten Kontext, die gemeinsame Nutzung von Speicher für DOM-Knoten und Strings/ArrayBuffers, das Verbot von eval() im Systemkontext und übergeordneten Prozess sowie die Anwendung strenger CSP-Einschränkungen (Content Security Policy) auf den Dienst. about“-Seiten:“, verbietet das Laden anderer Seiten als „chrome://“, „resource://“ und „about:“ im übergeordneten Prozess, verbietet die Ausführung von externem JavaScript-Code im übergeordneten Prozess und umgeht Privilegien Trennmechanismen (die zum Aufbau des Schnittstellenbrowsers verwendet werden) und unprivilegierter JavaScript-Code. Ein Beispiel für einen Fehler, der zur Zahlung einer neuen Vergütung führen würde, ist: Überprüfung auf eval() in Web-Worker-Threads.
Durch die Identifizierung einer Schwachstelle und die Umgehung von Exploit-Schutzmechanismen kann der Forscher zusätzliche 50 % der Grundvergütung erhalten. für eine identifizierte Schwachstelle (z. B. für eine UXSS-Schwachstelle, die die umgeht , können Sie 7000 $ plus einen Bonus von 3500 $ erhalten). Es ist bemerkenswert, dass die Ausweitung des Vergütungsprogramms für unabhängige Forscher vor dem Hintergrund der jüngsten Ereignisse erfolgt 250 Mozilla-Mitarbeiter, darunter das gesamte Threat-Management-Team, das an der Identifizierung und Analyse von Vorfällen beteiligt war, sowie Sicherheits Team.
Darüber hinaus wird berichtet, dass sich die Regeln für die Anwendung des Kopfgeldprogramms auf Schwachstellen geändert haben, die in nächtlichen Builds identifiziert wurden. Es wird darauf hingewiesen, dass solche Schwachstellen bei internen automatisierten Prüfungen und Fuzzing-Tests häufig sofort erkannt werden. Berichte über solche Fehler führen nicht zu Verbesserungen der Firefox-Sicherheit oder der Fuzz-Testmechanismen, daher werden Belohnungen für Schwachstellen in nächtlichen Builds nur dann ausgezahlt, wenn das Problem seit mehr als 4 Tagen im Haupt-Repository vorhanden ist und nicht intern identifiziert wurde Schecks und Mozilla-Mitarbeiter.
Source: opennet.ru