Tvrtka Mozilla o proširenju inicijative za isplatu novčanih nagrada za identificiranje sigurnosnih problema u Firefoxu. Osim izravnih ranjivosti, program Bug Bounty sada će pokrivati zaobilaženje mehanizama u pregledniku koji sprječavaju rad exploita.
Takvi mehanizmi uključuju sustav za čišćenje HTML fragmenata prije upotrebe u povlaštenom kontekstu, dijeljenje memorije za DOM čvorove i nizove/ArrayBuffers, zabranu eval() u kontekstu sustava i nadređenom procesu, primjenu strogih CSP (Content Security Policy) ograničenja na uslugu “ about” pages :", zabrana učitavanja stranica osim "chrome://", "resource://" i "about:" u nadređenom procesu, zabrana izvršavanja vanjskog JavaScript koda u nadređenom procesu, zaobilaženje privilegija mehanizmi odvajanja (koji se koriste za izradu preglednika sučelja) i nepovlašteni JavaScript kod. Primjer pogreške koja bi se kvalificirala za isplatu nove naknade je: provjera eval() u nitima Web Worker.
Identificiranjem ranjivosti i zaobilaženjem mehanizama zaštite od exploita, istraživač će moći dobiti dodatnih 50% osnovne nagrade, za identificiranu ranjivost (na primjer, za UXSS ranjivost koja zaobilazi , možete dobiti 7000$ plus bonus od 3500$). Važno je napomenuti da se proširenje programa naknada za neovisne istraživače događa u kontekstu nedavnih 250 zaposlenika Mozille, pod kojima cijeli tim za upravljanje prijetnjama, koji je bio uključen u identifikaciju i analizu incidenata, kao i Sigurnosni tim.
Osim toga, objavljeno je da su se promijenila pravila za primjenu bounty programa na ranjivosti identificirane u noćnim izgradnjama. Primijećeno je da se takve ranjivosti često odmah otkriju tijekom internih automatiziranih provjera i fuzzing testiranja. Izvještaji o takvim pogreškama ne dovode do poboljšanja sigurnosti Firefoxa ili mehanizama za testiranje fuzza, tako da će se nagrade za ranjivosti u noćnim verzijama isplatiti samo ako je problem prisutan u glavnom repozitoriju dulje od 4 dana i nije ga identificirala interna provjere i zaposlenici Mozille.
Izvor: opennet.ru