Mozilla သည် ၎င်း၏ အားနည်းချက် အပိုဆုအစီအစဉ်ကို တိုးချဲ့ခဲ့သည်။

Mozilla ကုမ္ပဏီ ကြေငြာခဲ့သည် Firefox တွင် လုံခြုံရေးပြဿနာများကို ဖော်ထုတ်ခြင်းအတွက် ငွေသားဆုလာဘ်များ ပေးဆောင်ရန် အစပြုမှုကို ချဲ့ထွင်ခြင်းအကြောင်း။ တိုက်ရိုက်အားနည်းချက်များအပြင် Bug Bounty ပရိုဂရမ်သည် ယခု အကျုံးဝင်မည်ဖြစ်သည်။ နည်းလမ်းများ အမြတ်ထုတ်မှုများ လုပ်ဆောင်ခြင်းကို တားဆီးသည့် ဘရောက်ဆာရှိ ယန္တရားများကို ရှောင်ကွင်းပါ။

ထိုယန္တရားများတွင် အခွင့်ထူးခံအကြောင်းအရာတစ်ခုတွင်အသုံးမပြုမီ HTML အပိုင်းအစများကို သန့်ရှင်းရေးလုပ်သည့်စနစ်၊ DOM node များနှင့် strings/ArrayBuffers အတွက် memory မျှဝေခြင်း၊ eval() ကို system context နှင့် parent process တွင် တားမြစ်ခြင်း၊ ဝန်ဆောင်မှုအတွက် တင်းကျပ်သော CSP (Content Security Policy) ကန့်သတ်ချက်များကို ကျင့်သုံးခြင်း " about" pages :", "chrome://", "resource://" နှင့် "about:" မှလွဲ၍ အခြားစာမျက်နှာများတင်ခြင်းကို တားမြစ်ခြင်း၊ ပင်မလုပ်ငန်းစဉ်တွင် ပြင်ပ JavaScript ကုဒ်၏လုပ်ဆောင်မှုကို တားမြစ်ခြင်း၊ အခွင့်ထူးကိုကျော်ဖြတ်ခြင်း ခြားနားမှု ယန္တရားများ (အင်တာဖေ့စ်ဘရောက်ဆာကို တည်ဆောက်ရန် အသုံးပြုသည်) နှင့် အခွင့်ထူးမခံသော JavaScript ကုဒ်။ ပေးချေမှုအသစ်တစ်ခုအတွက် အရည်အချင်းပြည့်မီမည့် အမှားတစ်ခု၏ ဥပမာတစ်ခုမှာ- မေ့သွားတယ်။ Web Worker threads တွင် eval() ကိုစစ်ဆေးခြင်း။

အားနည်းချက်တစ်ခုကို ဖော်ထုတ်ပြီး exploit ကာကွယ်မှု ယန္တရားများကို ရှောင်လွှဲခြင်းဖြင့် သုတေသီသည် အခြေခံဆု၏ 50% ကို ထပ်မံရရှိနိုင်မည်ဖြစ်သည်။ ချီးမြှင့်သည်။ ဖော်ထုတ်ထားသော အားနည်းချက်တစ်ခုအတွက် (ဥပမာ၊ UXSS အားနည်းချက်အတွက်၊ HTML Sanitizerသင်သည် $7000 နှင့် $3500 ဘောနပ်စ်ကို ရနိုင်သည်)။ အမှီအခိုကင်းသော သုတေသီ လျော်ကြေးပေးရေး အစီအစဉ်ကို တိုးချဲ့ခြင်းသည် မကြာသေးမီက နောက်ခံအခင်းအကျင်းနှင့် ဆန့်ကျင်ဘက်ဖြစ်နေကြောင်း မှတ်သားဖွယ်ကောင်းသည်။ အလုပ်မှဆင်းခြင်း။ လက်အောက်ရှိ Mozilla ဝန်ထမ်း ၂၅၀ ရိုက်တယ်။ အဖြစ်အပျက်များကို ဖော်ထုတ်ခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်းတွင် ပါဝင်ခဲ့သည့် ခြိမ်းခြောက်မှု စီမံခန့်ခွဲမှုအဖွဲ့တစ်ခုလုံး၊ အသင်း၏အစိတ်အပိုင်း လုံခြုံရေးအဖွဲ့။

ထို့အပြင်၊ ညစဉ်တည်ဆောက်မှုများတွင်ဖော်ထုတ်ထားသော အားနည်းချက်များအတွက် ဆုကြေးငွေပရိုဂရမ်ကို အသုံးပြုခြင်းအတွက် စည်းမျဉ်းများ ပြောင်းလဲသွားကြောင်း သတင်းရရှိပါသည်။ စက်တွင်း အလိုအလျောက် စစ်ဆေးမှုများနှင့် fuzzing စမ်းသပ်ခြင်းများတွင် ထိုကဲ့သို့သော အားနည်းချက်များကို မကြာခဏ တွေ့ရှိရကြောင်း မှတ်သားရပါသည်။ ထိုကဲ့သို့သော ချွတ်ယွင်းချက်များ၏ အစီရင်ခံစာများသည် Firefox လုံခြုံရေး သို့မဟုတ် fuzz စမ်းသပ်ခြင်း ယန္တရားများတွင် တိုးတက်မှုကို မဖြစ်ပေါ်စေနိုင်ပါ။ ထို့ကြောင့် ပြဿနာကို ပင်မသိုလှောင်ခန်းတွင် 4 ရက်ထက်ပိုပြီး XNUMX ရက်ထက်ပို၍ မဖော်ထုတ်ပါက ညစဉ်တည်ဆောက်မှုများတွင် အားနည်းချက်များအတွက် ဆုလာဘ်များကို ပေးချေမည်ဖြစ်သည်။ စစ်ဆေးမှုများနှင့် Mozilla ဝန်ထမ်းများ။

source: opennet.ru