Mozilla Company iwwer d'Erweiderung vun der Initiativ fir Cashbelounungen ze bezuelen fir Sécherheetsproblemer am Firefox z'identifizéieren. Zousätzlech zu direkten Schwachstelle wäert de Bug Bounty Programm elo ofdecken Contournement vun Mechanismen am Browser, déi d'Exploitatioun verhënneren.
Esou Mechanismen enthalen e System fir HTML Fragmenter ze botzen ier se an engem privilegiéierte Kontext benotzt ginn, Erënnerung fir DOM Noden a Strings / ArrayBuffers deelen, Eval () am Systemkontext an Elterenprozess verbidden, strikt CSP (Content Security Policy) Restriktiounen op Service applizéieren " iwwer" Säiten:", verbidden d'Luede vu Säiten ausser "chrome://", "Ressource: //" an "about:" am Elterende Prozess, verbidden d'Ausféierung vun externen JavaScript Code am Elterende Prozess, d'Privileg ëmgoen Trennungsmechanismen (benotzt fir den Interface Browser ze bauen) an onprivilegéierten JavaScript Code. E Beispill vun engem Feeler dee fir d'Bezuelung vun enger neier Remuneratioun qualifizéiere géif ass: iwwerpréift fir eval () an Web Worker thread.
Duerch eng Schwachstelle z'identifizéieren an Exploitatiounsschutzmechanismen ëmzegoen, kann de Fuerscher eng zousätzlech 50% vun der Basisbelounung kréien, fir eng identifizéiert Schwachstelle (zum Beispill fir eng UXSS Schwachstelle déi d' , Dir kënnt $ 7000 plus $ 3500 Bonus kréien). Et ass bemierkenswäert datt d'Expansioun vum onofhängege Fuerscher Kompensatiounsprogramm géint den Hannergrond vun der rezenter 250 Mozilla Mataarbechter, ënner deenen déi ganz Bedrohungs-Management-Team, déi bei der Identifikatioun an Analyse vun Tëschefäll involvéiert war, souwéi Sécherheet Equipe.
Zousätzlech gëtt et gemellt datt d'Regele fir d'Uwendung vum Bounty-Programm op Schwachstelle identifizéiert an Nightly Builds geännert hunn. Et gëtt bemierkt datt sou Schwachstelle dacks direkt während internen automatiséierte Kontrollen a Fuzzing Tester festgestallt ginn. Berichter vu sou Bugs féieren net zu Verbesserungen an der Firefox Sécherheet oder Fuzz Tester Mechanismen, sou datt Belounungen fir Schwachstelle bei Nuetsbauten nëmme bezuelt ginn wann de Problem méi wéi 4 Deeg am Haaptrepository präsent war an net vun internen identifizéiert gouf. Schecken a Mozilla Mataarbechter.
Source: opennet.ru