Mozilla ကုမ္ပဏီ Firefox တွင် လုံခြုံရေးပြဿနာများကို ဖော်ထုတ်ခြင်းအတွက် ငွေသားဆုလာဘ်များ ပေးဆောင်ရန် အစပြုမှုကို ချဲ့ထွင်ခြင်းအကြောင်း။ တိုက်ရိုက်အားနည်းချက်များအပြင် Bug Bounty ပရိုဂရမ်သည် ယခု အကျုံးဝင်မည်ဖြစ်သည်။ အမြတ်ထုတ်မှုများ လုပ်ဆောင်ခြင်းကို တားဆီးသည့် ဘရောက်ဆာရှိ ယန္တရားများကို ရှောင်ကွင်းပါ။
ထိုယန္တရားများတွင် အခွင့်ထူးခံအကြောင်းအရာတစ်ခုတွင်အသုံးမပြုမီ HTML အပိုင်းအစများကို သန့်ရှင်းရေးလုပ်သည့်စနစ်၊ DOM node များနှင့် strings/ArrayBuffers အတွက် memory မျှဝေခြင်း၊ eval() ကို system context နှင့် parent process တွင် တားမြစ်ခြင်း၊ ဝန်ဆောင်မှုအတွက် တင်းကျပ်သော CSP (Content Security Policy) ကန့်သတ်ချက်များကို ကျင့်သုံးခြင်း " about" pages :", "chrome://", "resource://" နှင့် "about:" မှလွဲ၍ အခြားစာမျက်နှာများတင်ခြင်းကို တားမြစ်ခြင်း၊ ပင်မလုပ်ငန်းစဉ်တွင် ပြင်ပ JavaScript ကုဒ်၏လုပ်ဆောင်မှုကို တားမြစ်ခြင်း၊ အခွင့်ထူးကိုကျော်ဖြတ်ခြင်း ခြားနားမှု ယန္တရားများ (အင်တာဖေ့စ်ဘရောက်ဆာကို တည်ဆောက်ရန် အသုံးပြုသည်) နှင့် အခွင့်ထူးမခံသော JavaScript ကုဒ်။ ပေးချေမှုအသစ်တစ်ခုအတွက် အရည်အချင်းပြည့်မီမည့် အမှားတစ်ခု၏ ဥပမာတစ်ခုမှာ- Web Worker threads တွင် eval() ကိုစစ်ဆေးခြင်း။
အားနည်းချက်တစ်ခုကို ဖော်ထုတ်ပြီး exploit ကာကွယ်မှု ယန္တရားများကို ရှောင်လွှဲခြင်းဖြင့် သုတေသီသည် အခြေခံဆု၏ 50% ကို ထပ်မံရရှိနိုင်မည်ဖြစ်သည်။ ဖော်ထုတ်ထားသော အားနည်းချက်တစ်ခုအတွက် (ဥပမာ၊ UXSS အားနည်းချက်အတွက်၊ သင်သည် $7000 နှင့် $3500 ဘောနပ်စ်ကို ရနိုင်သည်)။ အမှီအခိုကင်းသော သုတေသီ လျော်ကြေးပေးရေး အစီအစဉ်ကို တိုးချဲ့ခြင်းသည် မကြာသေးမီက နောက်ခံအခင်းအကျင်းနှင့် ဆန့်ကျင်ဘက်ဖြစ်နေကြောင်း မှတ်သားဖွယ်ကောင်းသည်။ လက်အောက်ရှိ Mozilla ဝန်ထမ်း ၂၅၀ အဖြစ်အပျက်များကို ဖော်ထုတ်ခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်းတွင် ပါဝင်ခဲ့သည့် ခြိမ်းခြောက်မှု စီမံခန့်ခွဲမှုအဖွဲ့တစ်ခုလုံး၊ လုံခြုံရေးအဖွဲ့။
ထို့အပြင်၊ ညစဉ်တည်ဆောက်မှုများတွင်ဖော်ထုတ်ထားသော အားနည်းချက်များအတွက် ဆုကြေးငွေပရိုဂရမ်ကို အသုံးပြုခြင်းအတွက် စည်းမျဉ်းများ ပြောင်းလဲသွားကြောင်း သတင်းရရှိပါသည်။ စက်တွင်း အလိုအလျောက် စစ်ဆေးမှုများနှင့် fuzzing စမ်းသပ်ခြင်းများတွင် ထိုကဲ့သို့သော အားနည်းချက်များကို မကြာခဏ တွေ့ရှိရကြောင်း မှတ်သားရပါသည်။ ထိုကဲ့သို့သော ချွတ်ယွင်းချက်များ၏ အစီရင်ခံစာများသည် Firefox လုံခြုံရေး သို့မဟုတ် fuzz စမ်းသပ်ခြင်း ယန္တရားများတွင် တိုးတက်မှုကို မဖြစ်ပေါ်စေနိုင်ပါ။ ထို့ကြောင့် ပြဿနာကို ပင်မသိုလှောင်ခန်းတွင် 4 ရက်ထက်ပိုပြီး XNUMX ရက်ထက်ပို၍ မဖော်ထုတ်ပါက ညစဉ်တည်ဆောက်မှုများတွင် အားနည်းချက်များအတွက် ဆုလာဘ်များကို ပေးချေမည်ဖြစ်သည်။ စစ်ဆေးမှုများနှင့် Mozilla ဝန်ထမ်းများ။
source: opennet.ru