Mozilla Company a Firefox biztonsági problémáinak azonosításáért folyó pénzjutalom kibővítéséről. A közvetlen sebezhetőségek mellett most a Bug Bounty program is kiterjed megkerüli azokat a mechanizmusokat a böngészőben, amelyek megakadályozzák az exploitok működését.
Az ilyen mechanizmusok közé tartozik a HTML-töredékek privilegizált környezetben való felhasználás előtti tisztítására szolgáló rendszer, a memória megosztása a DOM-csomópontok és karakterláncok/ArrayBufferek számára, az eval() tiltása a rendszerkontextusban és a szülőfolyamatban, valamint a szigorú CSP (Content Security Policy) korlátozások alkalmazása a szolgáltatásra. about” oldalak :", a "chrome://", "resource://" és "about:" oldalaktól eltérő oldalak betöltésének tiltása a szülőfolyamatban, külső JavaScript kód végrehajtásának tiltása a szülőfolyamatban, jogosultság megkerülése elválasztási mechanizmusok (az interfészböngésző felépítéséhez használtak) és a privilegizált JavaScript kód. Példa egy olyan hibára, amely új díjazás kifizetésére jogosít fel: az eval() keresése a Web Worker szálakban.
A sebezhetőség azonosításával és a kizsákmányolás elleni védelmi mechanizmusok megkerülésével a kutató az alapjutalom további 50%-át kaphatja meg, azonosított sebezhetőségért (például olyan UXSS-sebezhetőségért, amely megkerüli a 7000 dollár plusz 3500 dollár bónuszt kaphat). Figyelemre méltó, hogy a független kutatói kompenzációs program kiterjesztése a közelmúlt hátterében áll 250 Mozilla alkalmazott, amely alatt a teljes fenyegetéskezelési csapat, amely részt vett az incidensek azonosításában és elemzésében, valamint Biztonsági csapat.
Emellett a hírek szerint megváltoztak a jutalomprogram alkalmazásának szabályai az éjszakai buildekben azonosított sebezhetőségekre. Meg kell jegyezni, hogy az ilyen sérülékenységeket gyakran azonnal észlelik a belső automatizált ellenőrzések és a zavaró tesztelések során. Az ilyen hibákról szóló jelentések nem vezetnek a Firefox biztonságának vagy a fuzz-tesztelési mechanizmusok javulásához, így az éjszakai buildek sebezhetőségéért csak akkor fizetnek jutalmat, ha a probléma több mint 4 napja jelen van a fő adattárban, és a belső nem azonosította. csekkeket és a Mozilla alkalmazottait.
Forrás: opennet.ru