ProHoster > Pūnaewele > nūhou pūnaewele > Ua hoʻonui ʻo Mozilla i kāna papahana makana vulnerability

Ua hoʻonui ʻo Mozilla i kāna papahana makana vulnerability

Huina Mozilla haʻiʻia ka e pili ana i ka hoʻonui ʻana i ka manaʻo e uku i nā uku kālā no ka ʻike ʻana i nā pilikia palekana ma Firefox. Ma kahi o nā nāwaliwali pololei, e uhi ʻia ka papahana Bug Bounty kiʻina hana kaʻalo ʻana i nā mīkini polokalamu kele pūnaewele e pale ai i ka hana ʻana.

Hoʻokomo ʻia ia mau hana i kahi ʻōnaehana no ka hoʻomaʻemaʻe ʻana i nā ʻāpana HTML ma mua o ka hoʻohana ʻana i kahi pōʻaiapili ponoʻī, kaʻana like ʻana i ka hoʻomanaʻo no nā nodes DOM a me nā strings/ArrayBuffers, hoʻopau i ka eval () i ka ʻōnaehana ʻōnaehana a me ke kaʻina hana makua, e noi ana i nā palena CSP (Content Security Policy) i ka lawelawe " e pili ana i” ʻaoʻao :", pāpā i ka hoʻouka ʻana i nā ʻaoʻao ʻē aʻe ma mua o "chrome://", "resource://" a me "about:" ma ke kaʻina hana makua, pāpā i ka hoʻokō ʻana i ke code JavaScript waho ma ke kaʻina hana makua, kaʻalo ʻana i ka pono. nā hana hoʻokaʻawale (hoʻohana ʻia e kūkulu i ka polokalamu kele pūnaewele) a me ka code JavaScript pono ʻole. ʻO kahi hiʻohiʻona o kahi hewa e kūpono i ka uku ʻana i kahi uku hou: poina e nānā ana no ka eval() ma nā paena Mea Hana Pūnaewele.

Ma ka ʻike ʻana i kahi nāwaliwali a me ke kaʻe ʻana i nā mīkini pale hoʻohana, hiki i ka mea noiʻi ke loaʻa i kahi 50% o ka uku kumu, hāʻawi ʻia no kahi haʻahaʻa i ʻike ʻia (no ka laʻana, no kahi nāwaliwali UXSS e kāʻalo ana i ka Mea hoʻomaʻemaʻe HTML, hiki iā ʻoe ke loaʻa $7000 me kahi bonus $3500). He mea nui ka hoʻonui ʻia ʻana o ka papahana uku noiʻi kūʻokoʻa e kūʻē i ke kua o nā mea hou hoʻokuʻu ʻia 250 mau limahana Mozilla, ma lalo o ia hahau ka hui hoʻokele hoʻoweliweli holoʻokoʻa, i komo i ka ʻike a me ka nānā ʻana i nā hanana, a me hapa o ka hui Hui palekana.

Eia kekahi, ua hōʻike ʻia ua hoʻololi ʻia nā lula no ka hoʻopili ʻana i ka papahana bounty i nā nāwaliwali i ʻike ʻia i nā hale kūkulu pō. Hoʻomaopopo ʻia e ʻike pinepine ʻia kēlā mau nāwaliwali i ka wā o ka nānā ʻana i loko a me ka hoʻāʻo fuzzing. ʻAʻole hiki i nā hōʻike o ia mau hewa ke alakaʻi i ka hoʻomaikaʻi ʻana i ka palekana Firefox a i ʻole nā ​​hana hoʻāʻo fuzzing, no laila e uku wale ʻia nā uku no nā nāwaliwali i ke kūkulu ʻana i ka pō inā aia ka pilikia ma ka waihona nui no nā lā ʻoi aku ma mua o 4 mau lā a ʻaʻole i ʻike ʻia e ka kūloko. nā loiloi a me nā limahana Mozilla.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka