Mozilla ကုမ္ပဏီ
ထိုယန္တရားများတွင် အခွင့်ထူးခံအကြောင်းအရာတစ်ခုတွင်အသုံးမပြုမီ HTML အပိုင်းအစများကို သန့်ရှင်းရေးလုပ်သည့်စနစ်၊ DOM node များနှင့် strings/ArrayBuffers အတွက် memory မျှဝေခြင်း၊ eval() ကို system context နှင့် parent process တွင် တားမြစ်ခြင်း၊ ဝန်ဆောင်မှုအတွက် တင်းကျပ်သော CSP (Content Security Policy) ကန့်သတ်ချက်များကို ကျင့်သုံးခြင်း " about" pages :", "chrome://", "resource://" နှင့် "about:" မှလွဲ၍ အခြားစာမျက်နှာများတင်ခြင်းကို တားမြစ်ခြင်း၊ ပင်မလုပ်ငန်းစဉ်တွင် ပြင်ပ JavaScript ကုဒ်၏လုပ်ဆောင်မှုကို တားမြစ်ခြင်း၊ အခွင့်ထူးကိုကျော်ဖြတ်ခြင်း ခြားနားမှု ယန္တရားများ (အင်တာဖေ့စ်ဘရောက်ဆာကို တည်ဆောက်ရန် အသုံးပြုသည်) နှင့် အခွင့်ထူးမခံသော JavaScript ကုဒ်။ ပေးချေမှုအသစ်တစ်ခုအတွက် အရည်အချင်းပြည့်မီမည့် အမှားတစ်ခု၏ ဥပမာတစ်ခုမှာ-
အားနည်းချက်တစ်ခုကို ဖော်ထုတ်ပြီး exploit ကာကွယ်မှု ယန္တရားများကို ရှောင်လွှဲခြင်းဖြင့် သုတေသီသည် အခြေခံဆု၏ 50% ကို ထပ်မံရရှိနိုင်မည်ဖြစ်သည်။
ထို့အပြင်၊ ညစဉ်တည်ဆောက်မှုများတွင်ဖော်ထုတ်ထားသော အားနည်းချက်များအတွက် ဆုကြေးငွေပရိုဂရမ်ကို အသုံးပြုခြင်းအတွက် စည်းမျဉ်းများ ပြောင်းလဲသွားကြောင်း သတင်းရရှိပါသည်။ စက်တွင်း အလိုအလျောက် စစ်ဆေးမှုများနှင့် fuzzing စမ်းသပ်ခြင်းများတွင် ထိုကဲ့သို့သော အားနည်းချက်များကို မကြာခဏ တွေ့ရှိရကြောင်း မှတ်သားရပါသည်။ ထိုကဲ့သို့သော ချွတ်ယွင်းချက်များ၏ အစီရင်ခံစာများသည် Firefox လုံခြုံရေး သို့မဟုတ် fuzz စမ်းသပ်ခြင်း ယန္တရားများတွင် တိုးတက်မှုကို မဖြစ်ပေါ်စေနိုင်ပါ။ ထို့ကြောင့် ပြဿနာကို ပင်မသိုလှောင်ခန်းတွင် 4 ရက်ထက်ပိုပြီး XNUMX ရက်ထက်ပို၍ မဖော်ထုတ်ပါက ညစဉ်တည်ဆောက်မှုများတွင် အားနည်းချက်များအတွက် ဆုလာဘ်များကို ပေးချေမည်ဖြစ်သည်။ စစ်ဆေးမှုများနှင့် Mozilla ဝန်ထမ်းများ။
source: opennet.ru