Uzņēmums Mozilla
Šādi mehānismi ietver sistēmu HTML fragmentu tīrīšanai pirms lietošanas priviliģētā kontekstā, atmiņas koplietošanu DOM mezgliem un virknēm/ArrayBuffers, eval() aizliegšanu sistēmas kontekstā un vecāku procesā, stingru CSP (satura drošības politikas) ierobežojumu piemērošanu pakalpojumam. about” lapas :", aizliedzot vecāku procesā ielādēt citas lapas, izņemot "chrome://", "resource://" un "about:", aizliedzot ārēja JavaScript koda izpildi vecākprocesā, apejot privilēģijas atdalīšanas mehānismi (izmantoti interfeisa pārlūkprogrammas izveidei) un nepievilcīgs JavaScript kods. Kļūdas piemērs, kas attaisnotu jaunas atlīdzības izmaksu, ir:
Identificējot ievainojamību un apejot ļaunprātīgas izmantošanas aizsardzības mehānismus, pētnieks varēs saņemt papildu 50% no pamata atlīdzības,
Turklāt tiek ziņots, ka ir mainījušies noteikumi par atlīdzības programmas piemērošanu ievainojamībām, kas konstatētas nakts būvniecībā. Tiek atzīmēts, ka šādas ievainojamības bieži tiek nekavējoties atklātas iekšējo automatizēto pārbaužu un neskaidru testu laikā. Ziņojumi par šādām kļūdām neveicina Firefox drošības vai izplūdes testēšanas mehānismu uzlabojumus, tāpēc atlīdzība par ievainojamībām nakts versijās tiks izmaksāta tikai tad, ja problēma galvenajā repozitorijā ir bijusi vairāk nekā 4 dienas un to nav identificējusi iekšējā sistēma. čeki un Mozilla darbinieki.
Avots: opennet.ru