Mozilla Company om å utvide initiativet til å betale kontantbelønninger for å identifisere sikkerhetsproblemer i Firefox. I tillegg til direkte sårbarheter, vil Bug Bounty-programmet nå dekke omgå mekanismer i nettleseren som hindrer utnyttelser i å fungere.
Slike mekanismer inkluderer et system for rensing av HTML-fragmenter før bruk i en privilegert kontekst, deling av minne for DOM-noder og strenger/ArrayBuffere, deaktivering av eval() i systemkonteksten og overordnet prosess, bruk av strenge CSP-restriksjoner (Content Security Policy) på tjenesten " about” sider :”, forbyr lasting av andre sider enn “chrome://”, “resource://” og “about:” i den overordnede prosessen, forbyr kjøring av ekstern JavaScript-kode i den overordnede prosessen, omgå privilegier separasjonsmekanismer (brukes til å bygge grensesnittleseren) og uprivilegert JavaScript-kode. Et eksempel på en feil som vil kvalifisere for utbetaling av en ny godtgjørelse er: ser etter eval() i Web Worker-tråder.
Ved å identifisere en sårbarhet og omgå utnyttelsesbeskyttelsesmekanismer, vil forskeren kunne motta ytterligere 50 % av basisbelønningen, for en identifisert sårbarhet (for eksempel for en UXSS-sårbarhet som omgår , kan du få $7000 3500 pluss en $XNUMX XNUMX bonus). Det er bemerkelsesverdig at utvidelsen av det uavhengige forskerkompensasjonsprogrammet kommer på bakgrunn av den nylige 250 Mozilla-ansatte, under hvilke hele trusselledelsen, som var involvert i å identifisere og analysere hendelser, samt Sikkerhetsteam.
I tillegg rapporteres det at reglene for bruk av dusørprogrammet på sårbarheter identifisert i nattlige bygg har endret seg. Det bemerkes at slike sårbarheter ofte oppdages umiddelbart under interne automatiserte kontroller og fuzzing-testing. Rapporter om slike feil fører ikke til forbedringer i Firefox-sikkerhet eller fuzz-testingmekanismer, så belønninger for sårbarheter i nattlige bygg vil kun bli utbetalt hvis problemet har vært tilstede i hovedlageret i mer enn 4 dager og ikke har blitt identifisert av internt sjekker og Mozilla-ansatte.
Kilde: opennet.ru