Perusahaan Mozilla
Mekanisme tersebut mencakup sistem untuk membersihkan fragmen HTML sebelum digunakan dalam konteks istimewa, berbagi memori untuk node dan string DOM/ArrayBuffers, melarang eval() dalam konteks sistem dan proses induk, menerapkan pembatasan CSP (Kebijakan Keamanan Konten) yang ketat pada layanan β tentangβ halaman :", melarang pemuatan halaman selain "chrome://", "resource://" dan "about:" dalam proses induk, melarang eksekusi kode JavaScript eksternal dalam proses induk, melewati hak istimewa mekanisme pemisahan (digunakan untuk membangun antarmuka browser) dan kode JavaScript tanpa hak istimewa. Contoh kesalahan yang memenuhi syarat pembayaran remunerasi baru adalah:
Dengan mengidentifikasi kerentanan dan melewati mekanisme perlindungan eksploitasi, peneliti akan dapat menerima tambahan 50% dari hadiah dasar,
Selain itu, dilaporkan bahwa aturan untuk menerapkan program bounty pada kerentanan yang diidentifikasi dalam pembangunan malam telah berubah. Perlu dicatat bahwa kerentanan tersebut sering kali langsung terdeteksi selama pemeriksaan otomatis internal dan pengujian fuzzing. Laporan bug tersebut tidak mengarah pada peningkatan keamanan Firefox atau mekanisme pengujian fuzz, jadi imbalan atas kerentanan dalam build nightly hanya akan dibayarkan jika masalah telah ada di repositori utama selama lebih dari 4 hari dan belum teridentifikasi oleh internal. cek dan karyawan Mozilla.
Sumber: opennet.ru