Empresa Mozilla sobre ampliar la iniciativa para pagar recompensas en efectivo por identificar problemas de seguridad en Firefox. Además de las vulnerabilidades directas, el programa Bug Bounty ahora cubrirá evitando mecanismos en el navegador que impiden que funcionen los exploits.
Dichos mecanismos incluyen un sistema para limpiar fragmentos HTML antes de su uso en un contexto privilegiado, compartir memoria para nodos DOM y cadenas/ArrayBuffers, prohibir eval() en el contexto del sistema y el proceso principal, aplicar restricciones estrictas de CSP (Política de seguridad de contenido) al servicio. about” páginas :", prohibiendo la carga de páginas distintas de "chrome://", "resource://" y "about:" en el proceso principal, prohibiendo la ejecución de código JavaScript externo en el proceso principal, evitando privilegios mecanismos de separación (utilizados para construir la interfaz del navegador) y código JavaScript sin privilegios. Un ejemplo de error que daría derecho al pago de una nueva remuneración es: comprobando eval() en los subprocesos de Web Worker.
Al identificar una vulnerabilidad y eludir los mecanismos de protección contra exploits, el investigador podrá recibir un 50% adicional de la recompensa base. para una vulnerabilidad identificada (por ejemplo, para una vulnerabilidad UXSS que pasa por alto el , puedes obtener $7000 más un bono de $3500). Cabe señalar que la ampliación del programa de compensación para investigadores independientes se produce en el contexto de la reciente 250 empleados de Mozilla, bajo los cuales todo el equipo de gestión de amenazas, que participó en la identificación y análisis de incidentes, así como Equipo de seguridad.
Además, se informa que las reglas para aplicar el programa de recompensas a las vulnerabilidades identificadas en las compilaciones nocturnas han cambiado. Cabe señalar que estas vulnerabilidades suelen detectarse inmediatamente durante las comprobaciones internas automatizadas y las pruebas de confusión. Los informes de tales errores no conducen a mejoras en la seguridad de Firefox ni en los mecanismos de prueba de fuzz, por lo que las recompensas por vulnerabilidades en compilaciones nocturnas solo se pagarán si el problema ha estado presente en el repositorio principal durante más de 4 días y no ha sido identificado por expertos internos. cheques y empleados de Mozilla.
Fuente: opennet.ru