Mozilla ڪمپني فائر فاکس ۾ سيڪيورٽي مسئلن جي نشاندهي ڪرڻ لاءِ نقد انعام ڏيڻ جي شروعات کي وڌائڻ بابت. سڌو نقصانن کان علاوه، بگ فضل پروگرام هاڻي ڍڪيندو برائوزر ۾ ميڪانيزم کي پاس ڪرڻ جيڪي ڪم ڪرڻ کان استحصال کي روڪيندا آهن.
اهڙين ميڪانيزم ۾ شامل آهي HTML ٽڪرن کي صاف ڪرڻ لاءِ هڪ نظام جيڪو مراعات يافته حوالي سان استعمال ڪرڻ کان اڳ، DOM نوڊس ۽ اسٽرنگز/ArrayBuffers لاءِ ميموري شيئر ڪرڻ، سسٽم جي حوالي سان eval() کي منع ڪرڻ ۽ والدين جي عمل ۾، سخت CSP (مواد سيڪيورٽي پاليسي) پابنديون لاڳو ڪرڻ سروس لاءِ“. "صفحا:" بابت "ڪروم::"، "resource://" ۽ "about:" کان سواء ٻين صفحن جي لوڊ ڪرڻ کي منع ڪرڻ، والدين جي عمل ۾، خارجي جاوا اسڪرپٽ ڪوڊ جي عمل کي منع ڪرڻ، والدين جي عمل ۾، استحقاق کي نظرانداز ڪندي علحدگيءَ واري ميڪانيزم (انٽرفيس برائوزر کي ٺاھڻ لاءِ استعمال ڪيو ويندو آھي) ۽ غير امتيازي جاوا اسڪرپٽ ڪوڊ. هڪ غلطي جو هڪ مثال جيڪو نئين معاوضي جي ادائيگي لاءِ اهل هوندو آهي: ويب ورڪر ٿريڊز ۾ eval() جي جانچ ڪندي.
خطري جي سڃاڻپ ڪندي ۽ استحصال جي تحفظ واري ميڪانيزم کي نظرانداز ڪندي، محقق بنيادي انعام جو اضافي 50٪ حاصل ڪرڻ جي قابل هوندو، هڪ سڃاتل خطري لاءِ (مثال طور، هڪ UXSS جي خطري لاءِ جيڪو بي پاس ڪري ٿو ، توهان حاصل ڪري سگهو ٿا $7000 ۽ هڪ $3500 بونس). اهو قابل ذڪر آهي ته آزاد محقق معاوضي پروگرام جي توسيع تازو جي پس منظر جي خلاف اچي ٿو. 250 Mozilla ملازم، جنهن جي تحت سڄي خطري جي انتظامي ٽيم، جيڪا واقعن جي سڃاڻپ ۽ تجزيو ڪرڻ ۾ ملوث هئي، انهي سان گڏ سيڪيورٽي ٽيم.
ان کان علاوه، اهو ٻڌايو ويو آهي ته فضل پروگرام لاڳو ڪرڻ جا ضابطا انهن خطرن جي نشاندهي ڪن ٿا جيڪي رات جي تعمير ۾ تبديل ٿي ويا آهن. اهو نوٽ ڪيو وڃي ٿو ته اهڙيون ڪمزوريون اڪثر ڪري فوري طور تي اندروني خودڪار چيڪن ۽ فزنگ ٽيسٽ دوران ڳولي وينديون آهن. اهڙين بگز جون رپورٽون فائرفاڪس سيڪيورٽي يا فز ٽيسٽنگ ميڪانيزم ۾ بهتري جو سبب نه بڻجنديون آهن، تنهن ڪري رات جي وقت جي تعميرات ۾ ڪمزورين لاءِ انعام صرف ان صورت ۾ ڏنا ويندا جڏهن مسئلو 4 ڏينهن کان وڌيڪ عرصي کان مکيه ريپوزٽري ۾ موجود هجي ۽ ان جي سڃاڻپ نه ڪئي وئي هجي. چيڪ ۽ Mozilla ملازم.
جو ذريعو: opennet.ru