Mozilla Company oer it útwreidzjen fan it inisjatyf om jildbeleanningen te beteljen foar it identifisearjen fan feiligensproblemen yn Firefox. Neist direkte kwetsberens sil it programma Bug Bounty no dekke meganismen omgean yn 'e browser dy't foarkomme dat eksploaten wurkje.
Sokke meganismen omfetsje in systeem foar it skjinmeitsjen fan HTML-fragminten foar gebrûk yn in befoarrjochte kontekst, dielen fan ûnthâld foar DOM-knooppunten en snaren / ArrayBuffers, it ferbieden fan eval () yn 'e systeemkontekst en it âlderproses, it tapassen fan strange CSP (Content Security Policy) beheiningen foar tsjinst " oer" siden :", it laden fan oare siden dan "chrome://", "boarne://" en "oer:" yn it âlderproses ferbean, it útfieren fan eksterne JavaScript-koade yn it âlderproses ferbean, privileezje omgean skiedingsmeganismen (brûkt om de ynterfaceblêder te bouwen) en unprivileged JavaScript-koade. In foarbyld fan in flater dy't yn oanmerking komme soe foar betelling fan in nije fergoeding is: kontrolearje op eval() yn Web Worker-threads.
Troch in kwetsberens te identifisearjen en eksploitaasjebeskermingsmeganismen te omgean, sil de ûndersiker in ekstra 50% fan 'e basisbeleanning kinne ûntfange, foar in identifisearre kwetsberens (Bygelyks, foar in UXSS kwetsberens dat omgiet de , kinne jo krije $ 7000 plus in $ 3500 bonus). It is opmerklik dat de útwreiding fan it programma foar ûnôfhinklike ûndersikerskompensaasje komt tsjin 'e eftergrûn fan' e resinte 250 Mozilla meiwurkers, ûnder hokker de hiele Threat management team, dat wie belutsen by it identifisearjen en analysearjen fan ynsidinten, likegoed as Feiligens team.
Derneist wurdt rapportearre dat de regels foar it tapassen fan it bountyprogramma op kwetsberens identifisearre yn nachtlike bouwurken binne feroare. It wurdt opmurken dat sokke kwetsberens faak fuortendaliks ûntdutsen wurde tidens ynterne automatisearre kontrôles en fuzzing testen. Rapporten fan sokke bugs liede net ta ferbetteringen yn Firefox-befeiliging of fuzz-testmeganismen, dus beleanningen foar kwetsberens yn nachtlike builds sille allinich wurde betelle as it probleem mear dan 4 dagen yn 'e haadrepository west hat en net identifisearre is troch ynterne sjeks en Mozilla meiwurkers.
Boarne: opennet.ru