Spoločnosť Mozilla
Takéto mechanizmy zahŕňajú systém na čistenie fragmentov HTML pred použitím v privilegovanom kontexte, zdieľanie pamäte pre uzly a reťazce DOM/ArrayBuffer, zakazovanie eval() v kontexte systému a nadradenom procese, uplatňovanie prísnych obmedzení CSP (Content Security Policy) na službu “ about” pages :", zákaz načítavania stránok iných ako "chrome://", "resource://" a "about:" v nadradenom procese, zákaz vykonávania externého kódu JavaScript v nadradenom procese, obchádzanie oprávnenia separačné mechanizmy (používané na zostavenie prehliadača rozhrania) a neprivilegovaný kód JavaScript. Príkladom chyby, ktorá by sa kvalifikovala na vyplatenie novej odmeny, je:
Identifikáciou zraniteľnosti a obídením mechanizmov ochrany pred zneužitím bude výskumník môcť získať ďalších 50 % základnej odmeny,
Okrem toho sa uvádza, že sa zmenili pravidlá uplatňovania bounty programu na zraniteľnosti identifikované v nočných zostavách. Je potrebné poznamenať, že takéto zraniteľné miesta sú často okamžite zistené počas interných automatických kontrol a fuzzing testovania. Hlásenia o takýchto chybách nevedú k zlepšeniu bezpečnosti Firefoxu alebo mechanizmov testovania fuzz, takže odmeny za zraniteľnosti v nočných zostavách budú vyplatené len vtedy, ak sa problém vyskytuje v hlavnom úložisku dlhšie ako 4 dni a nebol identifikovaný internými kontroly a zamestnancov Mozilly.
Zdroj: opennet.ru