Mozilla Company om att utöka initiativet att betala kontantbelöningar för att identifiera säkerhetsproblem i Firefox. Förutom direkta sårbarheter kommer Bug Bounty-programmet nu att täcka kringgå mekanismer i webbläsaren som förhindrar utnyttjande från att fungera.
Sådana mekanismer inkluderar ett system för att rensa HTML-fragment före användning i ett privilegierat sammanhang, dela minne för DOM-noder och strängar/ArrayBuffers, förbjuda eval() i systemkontexten och överordnad process, tillämpa strikta CSP-restriktioner (Content Security Policy) på tjänsten " about” sidor :”, förbjuder inläsning av andra sidor än “chrome://”, “resource://” och “about:” i den överordnade processen, förbjuder exekvering av extern JavaScript-kod i den överordnade processen, förbigående privilegium separationsmekanismer (används för att bygga gränssnittswebbläsaren) och oprivilegierad JavaScript-kod. Ett exempel på ett fel som skulle kvalificera för betalning av en ny ersättning är: söker efter eval() i Web Worker-trådar.
Genom att identifiera en sårbarhet och kringgå exploateringsskyddsmekanismer kommer forskaren att kunna ta emot ytterligare 50 % av basbelöningen, för en identifierad sårbarhet (till exempel för en UXSS-sårbarhet som kringgår , kan du få $7000 3500 plus en $XNUMX XNUMX bonus). Det är anmärkningsvärt att utvidgningen av det oberoende forskarkompensationsprogrammet kommer mot bakgrund av den senaste tidens 250 Mozilla-anställda, under vilka hela Hotledningsgruppen som var involverad i att identifiera och analysera incidenter, samt Säkerhetsteam.
Dessutom rapporteras det att reglerna för att tillämpa bountyprogrammet på sårbarheter som identifierats i nattliga byggen har ändrats. Det noteras att sådana sårbarheter ofta upptäcks omedelbart under interna automatiserade kontroller och fuzzing tester. Rapporter om sådana buggar leder inte till förbättringar i Firefox-säkerhet eller fuzz-testmekanismer, så belöningar för sårbarheter i nattliga byggen kommer endast att betalas ut om problemet har funnits i huvudförvaret i mer än 4 dagar och inte har identifierats av internt checkar och Mozilla-anställda.
Källa: opennet.ru