Empresa Mozilla
Dichos mecanismos incluyen un sistema para limpiar fragmentos HTML antes de su uso en un contexto privilegiado, compartir memoria para nodos DOM y cadenas/ArrayBuffers, prohibir eval() en el contexto del sistema y el proceso principal, aplicar restricciones estrictas de CSP (Política de seguridad de contenido) al servicio. about” páginas :", prohibiendo la carga de páginas distintas de "chrome://", "resource://" y "about:" en el proceso principal, prohibiendo la ejecución de código JavaScript externo en el proceso principal, evitando privilegios mecanismos de separación (utilizados para construir la interfaz del navegador) y código JavaScript sin privilegios. Un ejemplo de error que daría derecho al pago de una nueva remuneración es:
Al identificar una vulnerabilidad y eludir los mecanismos de protección contra exploits, el investigador podrá recibir un 50% adicional de la recompensa base.
Además, se informa que las reglas para aplicar el programa de recompensas a las vulnerabilidades identificadas en las compilaciones nocturnas han cambiado. Cabe señalar que estas vulnerabilidades suelen detectarse inmediatamente durante las comprobaciones internas automatizadas y las pruebas de confusión. Los informes de tales errores no conducen a mejoras en la seguridad de Firefox ni en los mecanismos de prueba de fuzz, por lo que las recompensas por vulnerabilidades en compilaciones nocturnas solo se pagarán si el problema ha estado presente en el repositorio principal durante más de 4 días y no ha sido identificado por expertos internos. cheques y empleados de Mozilla.
Fuente: opennet.ru