Mozilla Company
Esou Mechanismen enthalen e System fir HTML Fragmenter ze botzen ier se an engem privilegiéierte Kontext benotzt ginn, Erënnerung fir DOM Noden a Strings / ArrayBuffers deelen, Eval () am Systemkontext an Elterenprozess verbidden, strikt CSP (Content Security Policy) Restriktiounen op Service applizéieren " iwwer" Säiten:", verbidden d'Luede vu Säiten ausser "chrome://", "Ressource: //" an "about:" am Elterende Prozess, verbidden d'Ausféierung vun externen JavaScript Code am Elterende Prozess, d'Privileg ëmgoen Trennungsmechanismen (benotzt fir den Interface Browser ze bauen) an onprivilegéierten JavaScript Code. E Beispill vun engem Feeler dee fir d'Bezuelung vun enger neier Remuneratioun qualifizéiere géif ass:
Duerch eng Schwachstelle z'identifizéieren an Exploitatiounsschutzmechanismen ëmzegoen, kann de Fuerscher eng zousätzlech 50% vun der Basisbelounung kréien,
Zousätzlech gëtt et gemellt datt d'Regele fir d'Uwendung vum Bounty-Programm op Schwachstelle identifizéiert an Nightly Builds geännert hunn. Et gëtt bemierkt datt sou Schwachstelle dacks direkt während internen automatiséierte Kontrollen a Fuzzing Tester festgestallt ginn. Berichter vu sou Bugs féieren net zu Verbesserungen an der Firefox Sécherheet oder Fuzz Tester Mechanismen, sou datt Belounungen fir Schwachstelle bei Nuetsbauten nëmme bezuelt ginn wann de Problem méi wéi 4 Deeg am Haaptrepository präsent war an net vun internen identifizéiert gouf. Schecken a Mozilla Mataarbechter.
Source: opennet.ru