Kumpanija Mozilla dwar l-espansjoni tal-inizjattiva biex jitħallsu premjijiet fi flus biex jiġu identifikati problemi ta’ sigurtà fil-Firefox. Minbarra l-vulnerabbiltajiet diretti, il-programm Bug Bounty issa se jkopri jinjora l-mekkaniżmi tal-browser li jipprevjenu l-isfruttamenti milli jaħdmu.
Mekkaniżmi bħal dawn jinkludu sistema għat-tindif ta 'frammenti HTML qabel l-użu f'kuntest privileġġjat, qsim tal-memorja għal nodi DOM u strings / ArrayBuffers, diżattivazzjoni ta' eval () fil-kuntest tas-sistema u proċess ġenitur, applikazzjoni stretti CSP (Politika ta 'Sigurtà tal-Kontenut) għas-servizz ". dwar” paġni :", li jipprojbixxi t-tagħbija ta 'paġni minbarra "chrome://", "riżors: //" u "madwar:" fil-proċess prinċipali, jipprojbixxi l-eżekuzzjoni ta' kodiċi JavaScript estern fil-proċess prinċipali, billi jinjora l-privileġġ mekkaniżmi ta’ separazzjoni (użati biex jinbena l-brawżer tal-interface) u kodiċi JavaScript mhux privileġġjat. Eżempju ta' żball li jikkwalifika għall-ħlas ta' remunerazzjoni ġdida huwa: verifika għal eval() fil-ħjut tal-Web Worker.
Billi tidentifika vulnerabbiltà u tevita l-mekkaniżmi ta' protezzjoni tal-isfruttament, ir-riċerkatur ikun jista' jirċievi 50% addizzjonali tal-premju bażi, għal vulnerabbiltà identifikata (per eżempju, għal vulnerabbiltà UXSS li tevita l- , tista' tikseb $7000 flimkien ma' bonus ta' $3500). Ta 'min jinnota li l-espansjoni tal-programm ta' kumpens għar-riċerkatur indipendenti tiġi fl-isfond ta 'l-aħħar 250 impjegat ta' Mozilla, li taħthom it-tim kollu tal-ġestjoni tat-Theddida, li kien involut fl-identifikazzjoni u l-analiżi tal-inċidenti, kif ukoll Tim tas-sigurtà.
Barra minn hekk, huwa rrappurtat li r-regoli għall-applikazzjoni tal-programm bounty għall-vulnerabbiltajiet identifikati fil-bini ta 'filgħaxija inbidlu. Huwa nnutat li vulnerabbiltajiet bħal dawn ħafna drabi jiġu skoperti immedjatament waqt kontrolli awtomatizzati interni u ttestjar fuzzing. Rapporti ta’ żbalji bħal dawn ma jwasslux għal titjib fis-sigurtà ta’ Firefox jew mekkaniżmi ta’ ttestjar tal-fuzzing, għalhekk il-premjijiet għall-vulnerabbiltajiet fil-bini ta’ filgħaxija jitħallsu biss jekk il-problema tkun ilha preżenti fir-repożitorju prinċipali għal aktar minn 4 ijiem u ma tkunx ġiet identifikata minn intern. ċekkijiet u impjegati ta’ Mozilla.
Sors: opennet.ru