شرکت موزیلا
چنین مکانیزمهایی شامل سیستمی برای تمیز کردن قطعات HTML قبل از استفاده در یک زمینه ممتاز، اشتراک حافظه برای گرههای DOM و رشتهها/ArrayBuffers، غیرفعال کردن eval() در زمینه سیستم و فرآیند والد، اعمال محدودیتهای سختگیرانه CSP (سیاست امنیت محتوا) برای سرویس است. about” pages :، ممنوعیت بارگیری صفحاتی غیر از "chrome://"، "resource://" و "about:" در فرآیند والد، ممنوعیت اجرای کد جاوا اسکریپت خارجی در فرآیند والد، دور زدن امتیاز مکانیسم های جداسازی (برای ساخت مرورگر رابط استفاده می شود) و کد جاوا اسکریپت غیرمجاز. نمونه ای از خطاهایی که واجد شرایط پرداخت پاداش جدید است:
با شناسایی یک آسیبپذیری و دور زدن مکانیسمهای حفاظت از بهرهبرداری، محقق میتواند 50 درصد اضافی از پاداش پایه را دریافت کند.
علاوه بر این، گزارش شده است که قوانین اعمال برنامه Bounty برای آسیبپذیریهای شناسایی شده در ساختهای شبانه تغییر کرده است. اشاره شده است که چنین آسیبپذیریهایی اغلب بلافاصله در طی بررسیهای خودکار داخلی و آزمایشهای فازی شناسایی میشوند. گزارشهای مربوط به چنین باگهایی منجر به بهبود مکانیسمهای امنیتی فایرفاکس یا تست فازی نمیشود، بنابراین پاداش آسیبپذیریها در ساختهای شبانه تنها در صورتی پرداخت میشود که مشکل بیش از 4 روز در مخزن اصلی وجود داشته باشد و توسط داخلی شناسایی نشده باشد. چک ها و کارمندان موزیلا.
منبع: opennet.ru