Società Mozilla sull'espansione dell'iniziativa per pagare premi in denaro per l'identificazione di problemi di sicurezza in Firefox. Oltre alle vulnerabilità dirette, il programma Bug Bounty ora coprirà aggirare i meccanismi nel browser che impediscono il funzionamento degli exploit.
Tali meccanismi includono un sistema per la pulizia dei frammenti HTML prima dell'uso in un contesto privilegiato, la condivisione della memoria per nodi DOM e stringhe/ArrayBuffer, il divieto di eval() nel contesto di sistema e nel processo principale, l'applicazione di rigide restrizioni CSP (Content Security Policy) al servizio " about” pagine :), vietando il caricamento di pagine diverse da "chrome://", "resource://" e "about:" nel processo principale, vietando l'esecuzione di codice JavaScript esterno nel processo principale, ignorando i privilegi meccanismi di separazione (utilizzati per costruire l'interfaccia del browser) e codice JavaScript non privilegiato. Un esempio di errore che darebbe diritto al pagamento di una nuova remunerazione è: verificando la presenza di eval() nei thread di Web Worker.
Identificando una vulnerabilità e aggirando i meccanismi di protezione dagli exploit, il ricercatore potrà ricevere un ulteriore 50% della ricompensa base, per una vulnerabilità identificata (ad esempio, per una vulnerabilità UXSS che ignora il , puoi ottenere $ 7000 più un bonus di $ 3500). È interessante notare che l’espansione del programma di compensazione dei ricercatori indipendenti avviene nel contesto dei recenti sviluppi 250 dipendenti Mozilla, sotto i quali l'intero team di gestione delle minacce, coinvolto nell'identificazione e nell'analisi degli incidenti, nonché Squadra di sicurezza.
Inoltre, è stato riferito che sono cambiate le regole per applicare il programma bounty alle vulnerabilità identificate nelle build notturne. Va notato che tali vulnerabilità vengono spesso rilevate immediatamente durante i controlli automatizzati interni e i test di fuzzing. Le segnalazioni di tali bug non portano a miglioramenti nella sicurezza di Firefox o nei meccanismi di fuzz testing, quindi i premi per le vulnerabilità nelle build notturne verranno pagati solo se il problema è presente nel repository principale da più di 4 giorni e non è stato identificato da controlli interni. assegni e dipendenti Mozilla.
Fonte: opennet.ru