Mozilla Company sobre expandir a iniciativa de pagar recompensas em dinheiro pela identificação de problemas de segurança no Firefox. Além das vulnerabilidades diretas, o programa Bug Bounty agora cobrirá ignorando mecanismos no navegador que impedem o funcionamento de explorações.
Tais mecanismos incluem um sistema para limpar fragmentos HTML antes do uso em um contexto privilegiado, compartilhando memória para nós DOM e strings/ArrayBuffers, proibindo eval() no contexto do sistema e no processo pai, aplicando restrições estritas de CSP (Política de Segurança de Conteúdo) ao serviço “ sobre” páginas:”, proibindo o carregamento de páginas diferentes de “chrome://”, “resource://” e “about:” no processo pai, proibindo a execução de código JavaScript externo no processo pai, ignorando privilégios mecanismos de separação (usados para construir a interface do navegador) e código JavaScript sem privilégios. Um exemplo de erro que daria direito ao pagamento de uma nova remuneração é: verificando eval() em threads do Web Worker.
Ao identificar uma vulnerabilidade e contornar os mecanismos de proteção contra exploração, o pesquisador poderá receber 50% adicionais da recompensa base, para uma vulnerabilidade identificada (por exemplo, para uma vulnerabilidade UXSS que ignora o , você pode obter US$ 7000 mais um bônus de US$ 3500). Vale ressaltar que a expansão do programa de remuneração de pesquisadores independentes ocorre tendo como pano de fundo a recente 250 funcionários da Mozilla, sob os quais toda a equipe de gerenciamento de ameaças, que esteve envolvida na identificação e análise de incidentes, bem como Equipe de segurança.
Além disso, é relatado que as regras para aplicação do programa de recompensas às vulnerabilidades identificadas nas compilações noturnas foram alteradas. Observa-se que tais vulnerabilidades são frequentemente detectadas imediatamente durante verificações automatizadas internas e testes de difusão. Relatos de tais bugs não levam a melhorias na segurança do Firefox ou nos mecanismos de testes fuzz, portanto, as recompensas por vulnerabilidades em compilações noturnas só serão pagas se o problema estiver presente no repositório principal por mais de 4 dias e não tiver sido identificado por internos. cheques e funcionários da Mozilla.
Fonte: opennet.ru