Mozilla fyrirtæki um að auka frumkvæði að því að greiða peningaverðlaun fyrir að bera kennsl á öryggisvandamál í Firefox. Auk beinna varnarleysis mun Bug Bounty forritið nú ná yfir framhjá aðferðum í vafranum sem koma í veg fyrir að hetjudáð virki.
Slíkar aðferðir fela í sér kerfi til að hreinsa HTML brot fyrir notkun í forréttindasamhengi, deila minni fyrir DOM hnúta og strengi/ArrayBuffers, banna eval() í kerfissamhenginu og foreldraferlinu, beita ströngum CSP (Content Security Policy) takmörkunum á þjónustu “ um“ síður :“, banna hleðslu á öðrum síðum en „chrome://“, „tilföng://“ og „um:“ í yfirferlinu, banna keyrslu á utanaðkomandi JavaScript kóða í foreldraferlinu, framhjá forréttindum aðskilnaðaraðferðir (notað til að byggja upp viðmótsvafra) og óforréttlátan JavaScript kóða. Dæmi um villu sem gæti hæft til greiðslu nýrrar þóknunar er: leitar að eval() í Web Worker þráðum.
Með því að bera kennsl á varnarleysi og komast framhjá nýtingarverndaraðferðum mun rannsakandinn geta fengið 50% til viðbótar af grunnverðlaununum, fyrir auðkenndan varnarleysi (til dæmis fyrir UXSS varnarleysi sem framhjá , þú getur fengið $7000 auk $3500 bónus). Það er athyglisvert að stækkun bótaáætlunar óháðra rannsakenda kemur á móti nýlegum 250 starfsmenn Mozilla, þar sem allt ógnarstjórnunarteymið sem tók þátt í að greina og greina atvik, sem og Öryggishópur.
Að auki er greint frá því að reglurnar um að beita styrktaráætluninni á veikleika sem greinast í næturbyggingum hafi breyst. Það er tekið fram að slíkar veikleikar finnast oft strax við innri sjálfvirkar athuganir og óljósar prófanir. Tilkynningar um slíkar villur leiða ekki til endurbóta á Firefox öryggi eða fuzz prófunaraðferðum, þannig að verðlaun fyrir veikleika í nætursmíðum verða aðeins greidd ef vandamálið hefur verið til staðar í aðalgeymslunni í meira en 4 daga og hefur ekki verið auðkennt af innri byggingu. ávísanir og starfsmenn Mozilla.
Heimild: opennet.ru