Mozilla Company
Tais mecanismos incluem um sistema para limpar fragmentos HTML antes do uso em um contexto privilegiado, compartilhando memória para nós DOM e strings/ArrayBuffers, proibindo eval() no contexto do sistema e no processo pai, aplicando restrições estritas de CSP (Política de Segurança de Conteúdo) ao serviço “ sobre” páginas:”, proibindo o carregamento de páginas diferentes de “chrome://”, “resource://” e “about:” no processo pai, proibindo a execução de código JavaScript externo no processo pai, ignorando privilégios mecanismos de separação (usados para construir a interface do navegador) e código JavaScript sem privilégios. Um exemplo de erro que daria direito ao pagamento de uma nova remuneração é:
Ao identificar uma vulnerabilidade e contornar os mecanismos de proteção contra exploração, o pesquisador poderá receber 50% adicionais da recompensa base,
Além disso, é relatado que as regras para aplicação do programa de recompensas às vulnerabilidades identificadas nas compilações noturnas foram alteradas. Observa-se que tais vulnerabilidades são frequentemente detectadas imediatamente durante verificações automatizadas internas e testes de difusão. Relatos de tais bugs não levam a melhorias na segurança do Firefox ou nos mecanismos de testes fuzz, portanto, as recompensas por vulnerabilidades em compilações noturnas só serão pagas se o problema estiver presente no repositório principal por mais de 4 dias e não tiver sido identificado por internos. cheques e funcionários da Mozilla.
Fonte: opennet.ru