Shirkadda Mozilla ku saabsan ballaarinta hindisaha lagu bixinayo abaal-marin lacageed oo lagu ogaanayo dhibaatooyinka amniga ee Firefox. Marka laga soo tago dayacanka tooska ah, barnaamijka Bug Bounty ayaa hadda dabooli doona ka gudubta hababka browserka ee ka hortagaya ka faa'iidaysiga inay shaqeeyaan.
Hababka noocan oo kale ah waxaa ka mid ah nidaamka nadiifinta jajabyada HTML ka hor inta aan loo isticmaalin macnaha mudnaanta leh, wadaagista xusuusta DOM noodes iyo xargaha / ArrayBuffers, curyaaminta eval () nidaamka nidaamka iyo habka waalidka, codsanaya CSP adag (Siyaasadda Amniga Mawduuca) xaddidaadaha adeegga " ku saabsan" boggaga :", mamnuucida rarida boggaga aan ka ahayn "chrome://", "resource://" iyo "ku saabsan:" habka waalidka, mamnuucida fulinta koodka JavaScript ee dibadda ee habka waalidka, ka gudubta mudnaanta hababka kala-soocidda (oo loo isticmaalo in lagu dhiso browser-ka interface) iyo koodka JavaScript ee aan mudnaanta lahayn. Tusaalaha khaladka u qalma bixinta gunnada cusub waa: hubinta eval() ee dunta Shaqaalaha Mareegta.
Iyadoo la aqoonsanayo nuglaanta iyo ka-hortagga hababka ilaalinta ka faa'iidaysiga, cilmi-baaruhu wuxuu awood u yeelan doonaa inuu helo 50% dheeraad ah ee abaalmarinta aasaasiga ah, nuglaanta la aqoonsaday (tusaale ahaan, dayacanka UXSS ee ka gudbaya , waxaad heli kartaa $7000 oo lagu daray $3500 oo gunno ah). Waxaa xusid mudan in ballaarinta barnaamijka magdhowga cilmi-baarista madaxa-bannaan uu ka soo horjeedo dib-u-dhacii dhawaa 250 shaqaale Mozilla ah, oo ay hoos yimaadaan dhammaan kooxda maamulka Khatarta, kuwaas oo ku lug lahaa aqoonsiga iyo falanqaynta dhacdooyinka, iyo sidoo kale Kooxda amniga.
Intaa waxaa dheer, waxaa la sheegay in xeerarka lagu dabaqo barnaamijka abaal-marinta ee nuglaanta lagu aqoonsaday dhismayaasha habeenkii ay isbeddeleen. Waxaa la xusay in dayacanka noocaan oo kale ah inta badan isla markiiba la ogaado inta lagu jiro hubinta iswada ee gudaha iyo baaritaanka jahawareerka ah. Warbixinnada kutaannada noocan oo kale ah ma horseedaan horumar xagga amniga Firefox ama hababka tijaabinta qallafsan, markaa abaal-marinnada nuglaanta ee dhismeyaasha habeenkii waxa la bixin doonaa oo keliya haddii dhibaatadu ay taallo kaydka ugu weyn in ka badan 4 maalmood oo aan lagu aqoonsan gudaha jeegaga iyo shaqaalaha Mozilla.
Source: opennet.ru