Mozilla-bedrijf
Dergelijke mechanismen omvatten een systeem voor het opschonen van HTML-fragmenten voordat ze in een bevoorrechte context worden gebruikt, het delen van geheugen voor DOM-knooppunten en strings/ArrayBuffers, het verbieden van eval() in de systeemcontext en het bovenliggende proces, het toepassen van strikte CSP-beperkingen (Content Security Policy) op service “ about” pagina's :", verbiedt het laden van andere pagina's dan "chrome://", "resource://" en "about:" in het bovenliggende proces, verbiedt de uitvoering van externe JavaScript-code in het bovenliggende proces, omzeilt privileges scheidingsmechanismen (gebruikt om de interfacebrowser te bouwen) en onbevoorrechte JavaScript-code. Een voorbeeld van een fout die in aanmerking zou komen voor uitbetaling van een nieuwe beloning is:
Door een kwetsbaarheid te identificeren en de beschermingsmechanismen tegen exploits te omzeilen, kan de onderzoeker 50% extra van de basisbeloning ontvangen,
Bovendien wordt gemeld dat de regels voor het toepassen van het premieprogramma op kwetsbaarheden die zijn geïdentificeerd in nachtelijke builds zijn veranderd. Opgemerkt wordt dat dergelijke kwetsbaarheden vaak onmiddellijk worden ontdekt tijdens interne geautomatiseerde controles en fuzzing-tests. Meldingen van dergelijke bugs leiden niet tot verbeteringen in de beveiliging van Firefox of tot fuzz-testmechanismen, dus beloningen voor kwetsbaarheden in nachtelijke builds worden alleen uitbetaald als het probleem langer dan vier dagen in de hoofdrepository aanwezig is en niet door interne gebruikers is geïdentificeerd. cheques en Mozilla-medewerkers.
Bron: opennet.ru