Kampuni ya Mozilla kuhusu kupanua mpango wa kulipa zawadi za pesa taslimu kwa kutambua matatizo ya usalama katika Firefox. Kando na athari za moja kwa moja, mpango wa Fadhila ya Mdudu sasa utashughulikia njia za kupita kwenye kivinjari ambazo huzuia ushujaa kufanya kazi.
Mbinu kama hizo ni pamoja na mfumo wa kusafisha vipande vya HTML kabla ya kutumika katika muktadha maalum, kushiriki kumbukumbu kwa nodi za DOM na kamba/ArrayBuffers, kukataza eval() katika muktadha wa mfumo na mchakato wa mzazi, kutumia vikwazo vikali vya CSP (Sera ya Usalama ya Maudhui) kwa huduma " kuhusu" kurasa :", inayokataza upakiaji wa kurasa zingine isipokuwa "chrome://", "resource://" na "kuhusu:" katika mchakato wa mzazi, kukataza utekelezwaji wa msimbo wa JavaScript wa nje katika mchakato wa mzazi, kupitisha upendeleo. njia za utenganisho (zinazotumika kuunda kivinjari cha kiolesura) na msimbo wa JavaScript usio na haki. Mfano wa hitilafu ambayo inaweza kuhitimu malipo ya ujira mpya ni: kuangalia eval() kwenye nyuzi za Wafanyabiashara wa Wavuti.
Kwa kutambua hatari na kupuuza mbinu za ulinzi wa unyonyaji, mtafiti ataweza kupokea 50% ya ziada ya zawadi ya msingi, kwa athari iliyotambuliwa (kwa mfano, kwa athari ya UXSS ambayo inapita , unaweza kupata $7000 pamoja na bonasi ya $3500). Ni vyema kutambua kwamba upanuzi wa mpango wa fidia wa watafiti huru unakuja dhidi ya hali ya hivi karibuni Wafanyakazi 250 wa Mozilla, ambao chini yake timu nzima ya usimamizi wa Tishio, ambayo ilihusika katika kutambua na kuchambua matukio, na vile vile Timu ya usalama.
Kwa kuongezea, inaripotiwa kuwa sheria za kutumia mpango wa fadhila kwa udhaifu unaotambuliwa katika ujenzi wa usiku zimebadilika. Ikumbukwe kwamba udhaifu huo mara nyingi hugunduliwa mara moja wakati wa ukaguzi wa kiotomatiki wa ndani na majaribio ya fuzzing. Ripoti za hitilafu kama hizo hazileti uboreshaji wa usalama wa Firefox au mifumo ya majaribio ya fuzz, kwa hivyo malipo ya udhaifu katika ujenzi wa kila usiku yatalipwa tu ikiwa shida imekuwepo kwenye hazina kuu kwa zaidi ya siku 4 na haijatambuliwa na kampuni ya ndani. hundi na wafanyakazi wa Mozilla.
Chanzo: opennet.ru