Mozilla-bedrijf over het uitbreiden van het initiatief om contante beloningen te betalen voor het identificeren van beveiligingsproblemen in Firefox. Naast directe kwetsbaarheden zal het Bug Bounty-programma nu dekking bieden het omzeilen van mechanismen in de browser die voorkomen dat exploits werken.
Dergelijke mechanismen omvatten een systeem voor het opschonen van HTML-fragmenten voordat ze in een bevoorrechte context worden gebruikt, het delen van geheugen voor DOM-knooppunten en strings/ArrayBuffers, het verbieden van eval() in de systeemcontext en het bovenliggende proces, het toepassen van strikte CSP-beperkingen (Content Security Policy) op service “ about” pagina's :", verbiedt het laden van andere pagina's dan "chrome://", "resource://" en "about:" in het bovenliggende proces, verbiedt de uitvoering van externe JavaScript-code in het bovenliggende proces, omzeilt privileges scheidingsmechanismen (gebruikt om de interfacebrowser te bouwen) en onbevoorrechte JavaScript-code. Een voorbeeld van een fout die in aanmerking zou komen voor uitbetaling van een nieuwe beloning is: controleren op eval() in Web Worker-threads.
Door een kwetsbaarheid te identificeren en de beschermingsmechanismen tegen exploits te omzeilen, kan de onderzoeker 50% extra van de basisbeloning ontvangen, voor een geïdentificeerde kwetsbaarheid (bijvoorbeeld voor een UXSS-kwetsbaarheid die de , kun je $7000 krijgen plus een bonus van $3500). Het is opmerkelijk dat de uitbreiding van het compensatieprogramma voor onafhankelijke onderzoekers tegen de achtergrond van de recente ontwikkelingen komt 250 Mozilla-medewerkers, waaronder het gehele Threat management-team, dat betrokken was bij het identificeren en analyseren van incidenten, evenals Beveiligingsteam.
Bovendien wordt gemeld dat de regels voor het toepassen van het premieprogramma op kwetsbaarheden die zijn geïdentificeerd in nachtelijke builds zijn veranderd. Opgemerkt wordt dat dergelijke kwetsbaarheden vaak onmiddellijk worden ontdekt tijdens interne geautomatiseerde controles en fuzzing-tests. Meldingen van dergelijke bugs leiden niet tot verbeteringen in de beveiliging van Firefox of tot fuzz-testmechanismen, dus beloningen voor kwetsbaarheden in nachtelijke builds worden alleen uitbetaald als het probleem langer dan vier dagen in de hoofdrepository aanwezig is en niet door interne gebruikers is geïdentificeerd. cheques en Mozilla-medewerkers.
Bron: opennet.ru