Konpayi Mozilla
Mekanis sa yo enkli yon sistèm pou netwaye fragman HTML anvan yo itilize yo nan yon kontèks privilejye, pataje memwa pou nœuds DOM ak strings/ArrayBuffers, entèdi eval() nan kontèks sistèm lan ak pwosesis paran yo, aplike restriksyon strik CSP (Content Security Policy) nan sèvis ". sou” paj :", entèdi chaje paj lòt pase "chrome://", "resous://" ak "sou:" nan pwosesis paran an, entèdi egzekisyon kòd JavaScript ekstèn nan pwosesis paran an, iyore privilèj mekanis separasyon (itilize yo bati navigatè a koòdone) ak kòd JavaScript san privilèj. Yon egzanp yon erè ki ta kalifye pou peman yon nouvo salè se:
Lè yo idantifye yon vilnerabilite ak kontourne mekanis pwoteksyon esplwate, chèchè a pral kapab resevwa yon lòt 50% nan rekonpans debaz la,
Anplis de sa, yo rapòte ke règ yo pou aplike pwogram bounty la nan frajilite yo idantifye nan bati lannwit yo te chanje. Li te note ke frajilite sa yo souvan detekte imedyatman pandan chèk otomatik entèn yo ak tès fuzzing. Rapò sou ensèk sa yo pa mennen nan amelyorasyon nan sekirite Firefox oswa mekanis tès fuzz, kidonk rekonpans pou frajilite nan konstriksyon chak swa yo pral peye sèlman si pwoblèm nan te prezan nan depo prensipal la pou plis pase 4 jou epi li pa te idantifye pa entèn yo. chèk ak anplwaye Mozilla.
Sous: opennet.ru