Perusahaan Mozilla ngeunaan ngalegaan inisiatif pikeun mayar ganjaran tunai pikeun ngaidentipikasi masalah kaamanan di Firefox. Salian kerentanan langsung, program Bug Bounty ayeuna bakal nutupan mékanisme bypassing dina browser nu nyegah exploits ti jalan.
Mékanisme sapertos kitu kalebet sistem pikeun ngabersihkeun fragmen HTML sateuacan dianggo dina kontéks anu istimewa, ngabagi mémori pikeun titik DOM sareng senar / ArrayBuffers, ngalarang eval () dina kontéks sistem sareng prosés indungna, nerapkeun larangan CSP (Kabijakan Kaamanan Kandungan) anu ketat pikeun jasa " ngeunaan” halaman :", ngalarang ngamuat halaman salian ti "chrome://", "resource://" sareng "about:" dina prosés indungna, ngalarang palaksanaan kode JavaScript éksternal dina prosés indungna, ngalangkungan hak husus. mékanisme separation (dipaké pikeun ngawangun browser panganteur) jeung kode JavaScript unprivileged. Conto kasalahan anu bakal cocog pikeun mayar imbuhan anyar nyaéta: mariksa eval () dina benang Web Worker.
Ku ngaidentipikasi kerentanan sareng ngalangkungan mékanisme perlindungan eksploitasi, panalungtik bakal tiasa nampi tambahan 50% tina ganjaran dasar, pikeun kerentanan anu diidentifikasi (contona, pikeun kerentanan UXSS anu ngalangkungan , Anjeun bisa meunangkeun $ 7000 tambah hiji $ 3500 bonus). Éta noteworthy yén perluasan program santunan panalungtik bebas asalna ngalawan backdrop tina panganyarna 250 karyawan Mozilla, handapeun mana sakabéh tim manajemen Ancaman, anu aub dina ngaidentipikasi jeung nganalisis insiden, kitu ogé Tim kaamanan.
Salaku tambahan, dilaporkeun yén aturan pikeun nerapkeun program bounty kana kerentanan anu dicirikeun dina ngawangun wengi parantos robih. Perhatikeun yén kerentanan sapertos kitu sering langsung dideteksi nalika pamariksaan otomatis internal sareng uji fuzzing. Laporan bug sapertos kitu henteu ngakibatkeun perbaikan dina kaamanan Firefox atanapi mékanisme uji fuzz, ku kituna ganjaran pikeun kerentanan dina ngawangun wengi ngan bakal dibayar upami masalahna parantos aya dina gudang utama langkung ti 4 dinten sareng teu acan dikenalkeun ku internal. cék jeung karyawan Mozilla.
sumber: opennet.ru