Uzņēmums Mozilla par iniciatīvas paplašināšanu maksāt naudas atlīdzību par drošības problēmu identificēšanu pārlūkprogrammā Firefox. Papildus tiešajām ievainojamībām tagad attieksies Bug Bounty programma apiet mehānismus pārlūkprogrammā, kas neļauj ekspluatēt.
Šādi mehānismi ietver sistēmu HTML fragmentu tīrīšanai pirms lietošanas priviliģētā kontekstā, atmiņas koplietošanu DOM mezgliem un virknēm/ArrayBuffers, eval() aizliegšanu sistēmas kontekstā un vecāku procesā, stingru CSP (satura drošības politikas) ierobežojumu piemērošanu pakalpojumam. about” lapas :", aizliedzot vecāku procesā ielādēt citas lapas, izņemot "chrome://", "resource://" un "about:", aizliedzot ārēja JavaScript koda izpildi vecākprocesā, apejot privilēģijas atdalīšanas mehānismi (izmantoti interfeisa pārlūkprogrammas izveidei) un nepievilcīgs JavaScript kods. Kļūdas piemērs, kas attaisnotu jaunas atlīdzības izmaksu, ir: eval() pārbaude Web Worker pavedienos.
Identificējot ievainojamību un apejot ļaunprātīgas izmantošanas aizsardzības mehānismus, pētnieks varēs saņemt papildu 50% no pamata atlīdzības, identificētai ievainojamībai (piemēram, UXSS ievainojamībai, kas apiet , jūs varat saņemt 7000 USD plus 3500 USD bonusu). Zīmīgi, ka neatkarīgo pētnieku kompensācijas programmas paplašināšana notiek uz nesenā laika fona 250 Mozilla darbinieki, zem kuriem visa Draudu vadības komanda, kas bija iesaistīta incidentu identificēšanā un analīzē, kā arī Drošības komanda.
Turklāt tiek ziņots, ka ir mainījušies noteikumi par atlīdzības programmas piemērošanu ievainojamībām, kas konstatētas nakts būvniecībā. Tiek atzīmēts, ka šādas ievainojamības bieži tiek nekavējoties atklātas iekšējo automatizēto pārbaužu un neskaidru testu laikā. Ziņojumi par šādām kļūdām neveicina Firefox drošības vai izplūdes testēšanas mehānismu uzlabojumus, tāpēc atlīdzība par ievainojamībām nakts versijās tiks izmaksāta tikai tad, ja problēma galvenajā repozitorijā ir bijusi vairāk nekā 4 dienas un to nav identificējusi iekšējā sistēma. čeki un Mozilla darbinieki.
Avots: opennet.ru