Мозилла Цомпани о проширењу иницијативе за исплату новчаних награда за идентификовање безбедносних проблема у Фирефок-у. Поред директних рањивости, програм Буг Боунти ће сада покрити заобилазећи механизме претраживача који спречавају рад експлоата.
Такви механизми укључују систем за чишћење ХТМЛ фрагмената пре употребе у привилегованом контексту, дељење меморије за ДОМ чворове и стрингове/АрраиБуфферс, забрану евал() у системском контексту и родитељском процесу, примену строгих ЦСП (Политика безбедности садржаја) ограничења на услугу “ абоут” пагес:“, забрањујући учитавање других страница осим „цхроме://“, „ресоурце://“ и „абоут:“ у надређеном процесу, забрањујући извршавање спољног ЈаваСцрипт кода у надређеном процесу, заобилазећи привилегију механизми раздвајања (који се користе за прављење претраживача интерфејса) и непривилеговани ЈаваСцрипт код. Пример грешке која би се квалификовала за исплату нове накнаде је: провера евал() у нитима Веб Воркер-а.
Идентификујући рањивост и заобилазећи механизме заштите од експлоатације, истраживач ће моћи да добије додатних 50% основне награде, за идентификовану рањивост (на пример, за УКССС рањивост која заобилази , можете добити $7000 плус $3500 бонус). Важно је напоменути да је проширење програма компензације независних истраживача у позадини недавног 250 запослених у Мозили, под којим цео тим за управљање претњама, који је био укључен у идентификацију и анализу инцидената, као и Тим за обезбеђење.
Поред тога, пријављено је да су промењена правила за примену програма награда на рањивости идентификоване у ноћним градњама. Примећено је да се такве рањивости често одмах откривају током интерних аутоматизованих провера и фузинг тестирања. Извештаји о таквим грешкама не доводе до побољшања безбедности Фирефок-а или механизама фузз тестирања, тако да ће се награде за рањивости у ноћним верзијама исплаћивати само ако је проблем присутан у главном спремишту дуже од 4 дана и није идентификован од стране интерних чекови и запослени у Мозили.
Извор: опеннет.ру