Société Mozilla
De tels mécanismes incluent un système de nettoyage des fragments HTML avant utilisation dans un contexte privilégié, le partage de mémoire pour les nœuds DOM et les chaînes/ArrayBuffers, la désactivation de eval() dans le contexte système et le processus parent, l'application de restrictions CSP (Content Security Policy) strictes au service. about” pages :", interdisant le chargement de pages autres que "chrome://", "resource://" et "about:" dans le processus parent, interdisant l'exécution de code JavaScript externe dans le processus parent, contournant les privilèges mécanismes de séparation (utilisés pour construire le navigateur d'interface) et code JavaScript non privilégié. Un exemple d’erreur donnant droit au paiement d’une nouvelle rémunération est :
En identifiant une vulnérabilité et en contournant les mécanismes de protection contre les exploits, le chercheur pourra recevoir 50 % supplémentaires de la récompense de base,
De plus, il est rapporté que les règles d'application du programme de primes aux vulnérabilités identifiées dans les builds nocturnes ont changé. Il convient de noter que ces vulnérabilités sont souvent immédiatement détectées lors de contrôles automatisés internes et de tests de fuzzing. Les rapports de tels bugs n'entraînent pas d'améliorations dans la sécurité de Firefox ou dans les mécanismes de tests de fuzz, donc les récompenses pour les vulnérabilités dans les versions nocturnes ne seront payées que si le problème est présent dans le référentiel principal depuis plus de 4 jours et n'a pas été identifié par l'interne. chèques et employés de Mozilla.
Source: opennet.ru