Firma Mozilla o rozszerzeniu inicjatywy polegającej na wypłacaniu nagród pieniężnych za identyfikowanie problemów związanych z bezpieczeństwem w Firefoksie. Oprócz bezpośrednich luk w zabezpieczeniach obejmie je teraz program Bug Bounty omijanie mechanizmów w przeglądarce uniemożliwiających działanie exploitów.
Takie mechanizmy obejmują system czyszczenia fragmentów HTML przed użyciem w uprzywilejowanym kontekście, współdzielenie pamięci dla węzłów DOM i ciągów znaków/ArrayBuffers, blokowanie funkcji eval() w kontekście systemu i procesu nadrzędnego, stosowanie rygorystycznych ograniczeń CSP (Content Security Policy) do usługi „ o” stronach :”, zakaz ładowania stron innych niż „chrome://”, „resource://” i „about:” w procesie nadrzędnym, zakaz wykonywania zewnętrznego kodu JavaScript w procesie nadrzędnym, omijanie uprawnień mechanizmy separacji (wykorzystywane do budowy interfejsu przeglądarki) i nieuprzywilejowany kod JavaScript. Przykładowym błędem kwalifikującym do wypłaty nowego wynagrodzenia jest: sprawdzanie eval() w wątkach Web Worker.
Dzięki zidentyfikowaniu podatności i ominięciu mechanizmów zabezpieczających przed exploitami badacz będzie mógł otrzymać dodatkowe 50% nagrody podstawowej, dla zidentyfikowanej luki (na przykład dla luki UXSS, która omija możesz otrzymać 7000 $ plus 3500 $ premii). Warto zauważyć, że rozwój programu wynagrodzeń niezależnych naukowców następuje na tle niedawnych lat 250 pracowników Mozilli, w ramach których cały zespół zarządzania zagrożeniami, który zajmował się identyfikacją i analizą incydentów, a także Zespół bezpieczeństwa.
Ponadto zgłoszono, że zmieniły się zasady stosowania programu nagród za luki zidentyfikowane w nocnych kompilacjach. Należy zauważyć, że takie luki są często wykrywane natychmiastowo podczas wewnętrznych automatycznych kontroli i testów fuzzingowych. Zgłoszenia takich błędów nie prowadzą do poprawy bezpieczeństwa Firefoksa ani mechanizmów testowania fuzzów, więc nagrody za luki w nocnych kompilacjach zostaną wypłacone tylko wtedy, gdy problem występuje w głównym repozytorium dłużej niż 4 dni i nie został zidentyfikowany przez wewnętrzne czeki i pracownicy Mozilli.
Źródło: opennet.ru