ಮೊಜಿಲ್ಲಾ ಕಂಪನಿ ಫೈರ್ಫಾಕ್ಸ್ನಲ್ಲಿ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಲು ನಗದು ಬಹುಮಾನಗಳನ್ನು ಪಾವತಿಸಲು ಉಪಕ್ರಮವನ್ನು ವಿಸ್ತರಿಸುವ ಬಗ್ಗೆ. ನೇರ ದೋಷಗಳ ಜೊತೆಗೆ, ಬಗ್ ಬೌಂಟಿ ಪ್ರೋಗ್ರಾಂ ಈಗ ಆವರಿಸುತ್ತದೆ ಶೋಷಣೆಗಳನ್ನು ಕೆಲಸ ಮಾಡುವುದನ್ನು ತಡೆಯುವ ಬ್ರೌಸರ್ನಲ್ಲಿ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡುವುದು.
ಅಂತಹ ಕಾರ್ಯವಿಧಾನಗಳು ಸವಲತ್ತು ಸಂದರ್ಭದಲ್ಲಿ ಬಳಸುವ ಮೊದಲು HTML ತುಣುಕುಗಳನ್ನು ಸ್ವಚ್ಛಗೊಳಿಸುವ ವ್ಯವಸ್ಥೆಯನ್ನು ಒಳಗೊಂಡಿವೆ, DOM ನೋಡ್ಗಳು ಮತ್ತು ಸ್ಟ್ರಿಂಗ್ಗಳು/ಅರೇಬಫರ್ಗಳಿಗೆ ಮೆಮೊರಿಯನ್ನು ಹಂಚಿಕೊಳ್ಳುವುದು, ಸಿಸ್ಟಮ್ ಸಂದರ್ಭ ಮತ್ತು ಮೂಲ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ eval() ಅನ್ನು ನಿಷೇಧಿಸುವುದು, ಸೇವೆಗೆ ಕಟ್ಟುನಿಟ್ಟಾದ CSP (ವಿಷಯ ಭದ್ರತಾ ನೀತಿ) ನಿರ್ಬಂಧಗಳನ್ನು ಅನ್ವಯಿಸುವುದು " ಬಗ್ಗೆ” ಪುಟಗಳು :", ಪೋಷಕ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ "chrome://", "resource://" ಮತ್ತು "about:" ಹೊರತುಪಡಿಸಿ ಬೇರೆ ಪುಟಗಳನ್ನು ಲೋಡ್ ಮಾಡುವುದನ್ನು ನಿಷೇಧಿಸುವುದು, ಪೋಷಕ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಬಾಹ್ಯ JavaScript ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ನಿಷೇಧಿಸುವುದು, ಸವಲತ್ತುಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡುವುದು ಬೇರ್ಪಡಿಸುವ ಕಾರ್ಯವಿಧಾನಗಳು (ಇಂಟರ್ಫೇಸ್ ಬ್ರೌಸರ್ ಅನ್ನು ನಿರ್ಮಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ) ಮತ್ತು ಸವಲತ್ತುಗಳಿಲ್ಲದ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್. ಹೊಸ ಸಂಭಾವನೆಯ ಪಾವತಿಗೆ ಅರ್ಹತೆ ಪಡೆಯುವ ದೋಷದ ಉದಾಹರಣೆ: ವೆಬ್ ವರ್ಕರ್ ಥ್ರೆಡ್ಗಳಲ್ಲಿ eval() ಅನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ.
ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸುವ ಮೂಲಕ ಮತ್ತು ಶೋಷಣೆ ಸಂರಕ್ಷಣಾ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಮೂಲಕ, ಸಂಶೋಧಕರು ಹೆಚ್ಚುವರಿ 50% ಮೂಲ ಪ್ರತಿಫಲವನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ, ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಾಗಿ (ಉದಾಹರಣೆಗೆ, UXSS ದುರ್ಬಲತೆಗೆ ಬೈಪಾಸ್ , ನೀವು $7000 ಜೊತೆಗೆ $3500 ಬೋನಸ್ ಪಡೆಯಬಹುದು). ಸ್ವತಂತ್ರ ಸಂಶೋಧಕ ಪರಿಹಾರ ಕಾರ್ಯಕ್ರಮದ ವಿಸ್ತರಣೆಯು ಇತ್ತೀಚಿನ ಹಿನ್ನೆಲೆಯಲ್ಲಿ ಬರುತ್ತದೆ ಎಂಬುದು ಗಮನಾರ್ಹ 250 ಮೊಜಿಲ್ಲಾ ಉದ್ಯೋಗಿಗಳು, ಇದರ ಅಡಿಯಲ್ಲಿ ಸಂಪೂರ್ಣ ಬೆದರಿಕೆ ನಿರ್ವಹಣಾ ತಂಡ, ಘಟನೆಗಳನ್ನು ಗುರುತಿಸುವಲ್ಲಿ ಮತ್ತು ವಿಶ್ಲೇಷಿಸುವಲ್ಲಿ ತೊಡಗಿಸಿಕೊಂಡಿದೆ, ಹಾಗೆಯೇ ಭದ್ರತಾ ತಂಡ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ರಾತ್ರಿಯ ನಿರ್ಮಾಣಗಳಲ್ಲಿ ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಳಿಗೆ ಬೌಂಟಿ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಅನ್ವಯಿಸುವ ನಿಯಮಗಳು ಬದಲಾಗಿವೆ ಎಂದು ವರದಿಯಾಗಿದೆ. ಆಂತರಿಕ ಸ್ವಯಂಚಾಲಿತ ತಪಾಸಣೆ ಮತ್ತು ಅಸ್ಪಷ್ಟ ಪರೀಕ್ಷೆಯ ಸಮಯದಲ್ಲಿ ಅಂತಹ ದೋಷಗಳನ್ನು ತಕ್ಷಣವೇ ಪತ್ತೆಹಚ್ಚಲಾಗುತ್ತದೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ. ಅಂತಹ ದೋಷಗಳ ವರದಿಗಳು ಫೈರ್ಫಾಕ್ಸ್ ಭದ್ರತೆ ಅಥವಾ ಫಜ್ ಪರೀಕ್ಷಾ ಕಾರ್ಯವಿಧಾನಗಳಲ್ಲಿ ಸುಧಾರಣೆಗೆ ಕಾರಣವಾಗುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ಮುಖ್ಯ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಸಮಸ್ಯೆಯು 4 ದಿನಗಳಿಗಿಂತ ಹೆಚ್ಚು ಕಾಲ ಇದ್ದರೆ ಮತ್ತು ಆಂತರಿಕವಾಗಿ ಗುರುತಿಸದಿದ್ದರೆ ಮಾತ್ರ ರಾತ್ರಿಯ ನಿರ್ಮಾಣಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳಿಗೆ ಪ್ರತಿಫಲವನ್ನು ಪಾವತಿಸಲಾಗುತ್ತದೆ. ತಪಾಸಣೆ ಮತ್ತು ಮೊಜಿಲ್ಲಾ ಉದ್ಯೋಗಿಗಳು.
ಮೂಲ: opennet.ru
