Spoločnosť Mozilla o rozšírení iniciatívy vyplácania peňažných odmien za identifikáciu bezpečnostných problémov vo Firefoxe. Okrem priamych zraniteľností bude program Bug Bounty teraz pokrývať obchádzanie mechanizmov v prehliadači, ktoré bránia fungovaniu exploitov.
Takéto mechanizmy zahŕňajú systém na čistenie fragmentov HTML pred použitím v privilegovanom kontexte, zdieľanie pamäte pre uzly a reťazce DOM/ArrayBuffer, zakazovanie eval() v kontexte systému a nadradenom procese, uplatňovanie prísnych obmedzení CSP (Content Security Policy) na službu “ about” pages :", zákaz načítavania stránok iných ako "chrome://", "resource://" a "about:" v nadradenom procese, zákaz vykonávania externého kódu JavaScript v nadradenom procese, obchádzanie oprávnenia separačné mechanizmy (používané na zostavenie prehliadača rozhrania) a neprivilegovaný kód JavaScript. Príkladom chyby, ktorá by sa kvalifikovala na vyplatenie novej odmeny, je: kontrola eval() vo vláknach Web Worker.
Identifikáciou zraniteľnosti a obídením mechanizmov ochrany pred zneužitím bude výskumník môcť získať ďalších 50 % základnej odmeny, pre identifikovanú zraniteľnosť (napríklad pre zraniteľnosť UXSS, ktorá obchádza , môžete získať 7000 3500 USD plus bonus XNUMX XNUMX USD). Je pozoruhodné, že rozšírenie programu odmeňovania nezávislých výskumníkov prichádza na pozadí nedávneho obdobia 250 zamestnancov Mozilly, pod ktorým celý tím Threat management, ktorý sa podieľal na identifikácii a analýze incidentov, ako aj Bezpečnostný tím.
Okrem toho sa uvádza, že sa zmenili pravidlá uplatňovania bounty programu na zraniteľnosti identifikované v nočných zostavách. Je potrebné poznamenať, že takéto zraniteľné miesta sú často okamžite zistené počas interných automatických kontrol a fuzzing testovania. Hlásenia o takýchto chybách nevedú k zlepšeniu bezpečnosti Firefoxu alebo mechanizmov testovania fuzz, takže odmeny za zraniteľnosti v nočných zostavách budú vyplatené len vtedy, ak sa problém vyskytuje v hlavnom úložisku dlhšie ako 4 dni a nebol identifikovaný internými kontroly a zamestnancov Mozilly.
Zdroj: opennet.ru