Cuideachta Mozilla faoin tionscnamh a leathnú chun luach saothair airgid a íoc as fadhbanna slándála a aithint i Firefox. Chomh maith le leochaileachtaí díreacha, clúdóidh an clár Bug Bounty anois meicníochtaí seachaint sa bhrabhsálaí a chuireann cosc ar shaothraithe oibriú.
I measc na meicníochtaí sin tá córas chun blúirí HTML a ghlanadh sula n-úsáidtear i gcomhthéacs pribhléideach, cuimhne a roinnt le haghaidh nóid DOM agus teaghráin/Buffers Array, cosc ar eval() i gcomhthéacs an chórais agus i bpróiseas tuismitheora, srianta dochta CSP (Beartas Slándála Ábhar) a chur i bhfeidhm ar an tseirbhís “ faoi" leathanaigh :", a thoirmeasc ar luchtú leathanaigh seachas "chrome://", "acmhainn:://" agus "about:" sa phróiseas tuismitheora, ag toirmeasc forghníomhú cód seachtrach JavaScript sa phróiseas tuismitheora, ag seachaint pribhléide meicníochtaí deighilte (a úsáidtear chun an brabhsálaí comhéadan a thógáil) agus cód JavaScript gan phribhléid. Sampla d’earráid a bheadh incháilithe d’íocaíocht luach saothair nua is ea: ag seiceáil le haghaidh eval() i snáitheanna Oibrithe Gréasáin.
Trí leochaileacht a shainaithint agus trí leas a bhaint as meicníochtaí cosanta, beidh an taighdeoir in ann 50% breise den luach saothair bonn a fháil, i.e. i gcás leochaileachta aitheanta (mar shampla, i gcás leochaileachta UXSS a sheachnaíonn an , is féidir leat $7000 móide bónas $3500 a fháil). Is fiú a thabhairt faoi deara go dtagann leathnú an chláir chúitimh do thaighdeoirí neamhspleácha i gcomhthéacs an chláir le déanaí 250 fostaí Mozilla, faoina bhfuil an fhoireann bhainistíochta Bagairt ar fad, a bhí bainteach le teagmhais a aithint agus a anailísiú, chomh maith le Foireann slándála.
Ina theannta sin, tuairiscítear go bhfuil athrú tagtha ar na rialacha chun an clár deolchaire a chur i bhfeidhm ar leochaileachtaí a shainaithnítear i dtógálacha oíche. Tugtar faoi deara gur minic a aimsítear leochaileachtaí den sórt sin láithreach le linn seiceálacha uathoibrithe inmheánacha agus tástála fuzzing. Ní bhíonn feabhsuithe ar shlándáil Firefox ná ar mheicníochtaí tástála fuzz mar thoradh ar thuairiscí ar fhabhtanna dá leithéid, mar sin ní íocfar luach saothair as leochaileachtaí i dtógálacha oíche ach amháin má tá an fhadhb i láthair sa phríomhstór le níos mó ná 4 lá agus murar aithníodh í ag inmheánach. seiceálacha agus fostaithe Mozilla.
Foinse: oscailtenet.ru