Société Mozilla sur l'extension de l'initiative visant à payer des récompenses en espèces pour l'identification des problèmes de sécurité dans Firefox. En plus des vulnérabilités directes, le programme Bug Bounty couvrira désormais contourner les mécanismes du navigateur qui empêchent les exploits de fonctionner.
De tels mécanismes incluent un système de nettoyage des fragments HTML avant utilisation dans un contexte privilégié, le partage de mémoire pour les nœuds DOM et les chaînes/ArrayBuffers, la désactivation de eval() dans le contexte système et le processus parent, l'application de restrictions CSP (Content Security Policy) strictes au service. about” pages :", interdisant le chargement de pages autres que "chrome://", "resource://" et "about:" dans le processus parent, interdisant l'exécution de code JavaScript externe dans le processus parent, contournant les privilèges mécanismes de séparation (utilisés pour construire le navigateur d'interface) et code JavaScript non privilégié. Un exemple d’erreur donnant droit au paiement d’une nouvelle rémunération est : vérification de eval() dans les threads Web Worker.
En identifiant une vulnérabilité et en contournant les mécanismes de protection contre les exploits, le chercheur pourra recevoir 50 % supplémentaires de la récompense de base, pour une vulnérabilité identifiée (par exemple, pour une vulnérabilité UXSS qui contourne le , vous pouvez obtenir 7000 3500 $ plus un bonus de XNUMX XNUMX $). Il convient de noter que l'expansion du programme de rémunération des chercheurs indépendants s'inscrit dans le contexte de la récente 250 employés de Mozilla, dont l’ensemble de l’équipe de gestion des Menaces, impliquée dans l’identification et l’analyse des incidents, ainsi que Équipe de sécurité.
De plus, il est rapporté que les règles d'application du programme de primes aux vulnérabilités identifiées dans les builds nocturnes ont changé. Il convient de noter que ces vulnérabilités sont souvent immédiatement détectées lors de contrôles automatisés internes et de tests de fuzzing. Les rapports de tels bugs n'entraînent pas d'améliorations dans la sécurité de Firefox ou dans les mécanismes de tests de fuzz, donc les récompenses pour les vulnérabilités dans les versions nocturnes ne seront payées que si le problème est présent dans le référentiel principal depuis plus de 4 jours et n'a pas été identifié par l'interne. chèques et employés de Mozilla.
Source: opennet.ru