Compania Mozilla despre extinderea inițiativei de a plăti recompense în numerar pentru identificarea problemelor de securitate în Firefox. Pe lângă vulnerabilitățile directe, programul Bug Bounty va acoperi acum ocolirea mecanismelor din browser care împiedică exploatările să funcționeze.
Astfel de mecanisme includ un sistem de curățare a fragmentelor HTML înainte de utilizare într-un context privilegiat, partajarea memoriei pentru nodurile DOM și șiruri de caractere/ArrayBuffers, dezactivarea eval() în contextul sistemului și a procesului părinte, aplicarea restricțiilor stricte CSP (Politica de securitate a conținutului) serviciului „ despre” pagini :”, interzicerea încărcării altor pagini decât „chrome://”, „resource://” și „despre:” în procesul părinte, interzicerea executării codului JavaScript extern în procesul părinte, ocolirea privilegiului mecanisme de separare (utilizate pentru a construi browserul de interfață) și cod JavaScript neprivilegiat. Un exemplu de eroare care s-ar califica pentru plata unei noi remunerații este: verificarea eval() în firele de lucru Web Worker.
Prin identificarea unei vulnerabilități și ocolirea mecanismelor de protecție împotriva exploatării, cercetătorul va putea primi 50% suplimentar din recompensa de bază, pentru o vulnerabilitate identificată (de exemplu, pentru o vulnerabilitate UXSS care ocolește , puteți obține 7000 USD plus un bonus de 3500 USD). Este de remarcat faptul că extinderea programului de compensare a cercetătorilor independenți vine pe fundalul recentului 250 de angajați Mozilla, sub care întreaga echipă de management al amenințărilor, care a fost implicată în identificarea și analiza incidentelor, precum și Echipa de securitate.
În plus, se raportează că regulile de aplicare a programului de recompense la vulnerabilitățile identificate în build-urile nocturne s-au schimbat. Se observă că astfel de vulnerabilități sunt adesea detectate imediat în timpul verificărilor interne automate și al testării fuzzing. Rapoartele unor astfel de erori nu duc la îmbunătățiri ale securității Firefox sau a mecanismelor de testare fuzzing, așa că recompensele pentru vulnerabilități în versiunile de noapte vor fi plătite numai dacă problema a fost prezentă în depozitul principal de mai mult de 4 zile și nu a fost identificată de către intern. cecuri și angajați Mozilla.
Sursa: opennet.ru
