Mozilla Company momba ny fanitarana ny fandraisana andraikitra handoa valisoa amin'ny famantarana ny olana momba ny fiarovana ao amin'ny Firefox. Ho fanampin'ny vulnerability mivantana, ny programa Bug Bounty dia handrakotra izao mandingana ny mekanika ao amin'ny navigateur izay manakana ny fitrandrahana tsy hiasa.
Ny mekanika toy izany dia ahitana rafitra fanadiovana ny sombintsombiny HTML alohan'ny hampiasana azy amin'ny toe-javatra manokana, fizarana fahatsiarovana ho an'ny DOM nodes sy strings/ArrayBuffers, mandrara ny eval() ao amin'ny tontolon'ny rafitra sy ny fizotran'ny ray aman-dreny, mampihatra ny fameperana CSP (Content Security Policy) amin'ny serivisy " mombaβ pejy :", mandrara ny fampidirana pejy ankoatry ny "chrome://", "resource://" ary "about:" ao amin'ny dingan'ny ray aman-dreny, mandrara ny fanatanterahana ny code JavaScript ivelany amin'ny dingan'ny ray aman-dreny, mandingana ny tombontsoa. mekanika fisarahana (ampiasaina hanamboarana ny navigateur interface tsara) sy code JavaScript tsy misy tombontsoa. Ohatra iray amin'ny hadisoana mety hahafeno fepetra handoavana karama vaovao dia: manamarina ny eval() amin'ny kofehy Web Worker.
Amin'ny famantarana ny fahalemena sy ny fandalovana ny rafitra fiarovana amin'ny fitrandrahana, ny mpikaroka dia afaka mahazo 50% fanampiny amin'ny valisoa fototra, ho an'ny vulnerability fantatra (ohatra, ho an'ny UXSS vulnerability izay mandingana ny , afaka mahazo $7000 miampy bonus $3500 ianao). Marihina fa ny fanitarana ny programa fanonerana ny mpikaroka tsy miankina dia mifanohitra amin'ny zava-misy tato ho ato Mpiasan'ny Mozilla 250, eo ambanin'izany ny ekipan'ny fitantanana ny Fandrahonana manontolo, izay nandray anjara tamin'ny famantarana sy famakafakana ny zava-nitranga, ary koa Ekipa fiarovana.
Ankoatr'izay, voalaza fa niova ny fitsipika momba ny fampiharana ny programa bounty amin'ireo vulnerability hita ao amin'ny fananganana isan'alina. Marihina fa matetika ny vulnerability toy izany dia tsikaritra avy hatrany mandritra ny fisavana mandeha ho azy anatiny sy ny fitsapana tsy misy dikany. Ny tatitra momba ny bibikely toy izany dia tsy mitondra amin'ny fanatsarana ny fiarovana Firefox na ny mekanika fitiliana fuzz, ka ny valisoa ho an'ny vulnerability amin'ny fanamboarana isan'alina dia tsy maintsy aloa raha toa ka efa tao amin'ny tahiry lehibe nandritra ny 4 andro mahery ny olana ary tsy voamariky ny anatiny. fanamarinana sy ny mpiasa Mozilla.
Source: opennet.ru