Podjetje Mozilla o razširitvi pobude za plačilo denarnih nagrad za odkrivanje varnostnih težav v Firefoxu. Poleg neposrednih ranljivosti bo program Bug Bounty zdaj pokrival zaobide mehanizme v brskalniku, ki preprečujejo delovanje podvigov.
Takšni mehanizmi vključujejo sistem za čiščenje fragmentov HTML pred uporabo v privilegiranem kontekstu, skupno rabo pomnilnika za vozlišča DOM in nize/ArrayBuffers, prepoved eval() v sistemskem kontekstu in nadrejenem procesu, uporabo strogih omejitev CSP (Content Security Policy) za storitev “ about” pages :", ki prepoveduje nalaganje drugih strani razen "chrome://", "resource://" in "about:" v nadrejenem procesu, prepoveduje izvajanje zunanje kode JavaScript v nadrejenem procesu, mimo privilegijev mehanizmi ločevanja (ki se uporabljajo za izdelavo brskalnika vmesnika) in neprivilegirana koda JavaScript. Primer napake, ki bi bila upravičena do izplačila novega plačila, je: preverjanje eval() v nitih Web Worker.
Z odkrivanjem ranljivosti in obhodom mehanizmov zaščite pred izkoriščanjem bo raziskovalec lahko prejel dodatnih 50 % osnovne nagrade, za ugotovljeno ranljivost (na primer za ranljivost UXSS, ki zaobide , lahko dobite 7000 $ plus 3500 $ bonusa). Omeniti velja, da do širitve programa nadomestil za neodvisne raziskovalce prihaja v ozadju nedavnih 250 zaposlenih v Mozilli, pod katerimi celotno ekipo Threat management, ki je sodelovala pri identifikaciji in analizi incidentov ter Varnostna ekipa.
Poleg tega poročajo, da so se spremenila pravila za uporabo nagradnega programa za ranljivosti, ugotovljene v nočnih zgradbah. Opozoriti je treba, da so takšne ranljivosti pogosto takoj odkrite med internimi avtomatiziranimi pregledi in testiranjem fuzzinga. Poročila o takšnih hroščih ne vodijo do izboljšav varnosti Firefoxa ali mehanizmov testiranja fuzzov, zato bodo nagrade za ranljivosti v nočnih izgradnjah izplačane samo, če je bila težava prisotna v glavnem skladišču več kot 4 dni in je ni odkril interni čekov in zaposlenih v Mozilli.
Vir: opennet.ru