บริษัท มอซิลลา
กลไกดังกล่าวรวมถึงระบบสำหรับการทำความสะอาดส่วน HTML ก่อนใช้ในบริบทที่มีสิทธิพิเศษ แบ่งปันหน่วยความจำสำหรับโหนด DOM และสตริง/ArrayBuffers ห้าม eval() ในบริบทของระบบและกระบวนการหลัก ใช้ข้อจำกัด CSP (นโยบายความปลอดภัยเนื้อหา) ที่เข้มงวดในการให้บริการ “ เกี่ยวกับ” หน้า :", ห้ามการโหลดหน้าอื่นที่ไม่ใช่ "chrome://", "resource://" และ "about:" ในกระบวนการหลัก, ห้ามมิให้เรียกใช้โค้ด JavaScript ภายนอกในกระบวนการหลัก, ข้ามสิทธิ์ กลไกการแยก (ใช้ในการสร้างอินเทอร์เฟซเบราว์เซอร์) และโค้ด JavaScript ที่ไม่มีสิทธิพิเศษ ตัวอย่างของข้อผิดพลาดที่อาจเข้าเงื่อนไขการจ่ายค่าตอบแทนใหม่คือ:
ด้วยการระบุช่องโหว่และหลีกเลี่ยงกลไกการป้องกันการหาประโยชน์ ผู้วิจัยจะได้รับรางวัลเพิ่มเติม 50% ของรางวัลพื้นฐาน
นอกจากนี้ มีรายงานว่ากฎในการใช้โปรแกรมค่าหัวกับช่องโหว่ที่ระบุในบิลด์ทุกคืนมีการเปลี่ยนแปลง มีข้อสังเกตว่าช่องโหว่ดังกล่าวมักจะตรวจพบทันทีระหว่างการตรวจสอบอัตโนมัติภายในและการทดสอบแบบคลุมเครือ รายงานข้อบกพร่องดังกล่าวไม่ได้นำไปสู่การปรับปรุงความปลอดภัยของ Firefox หรือกลไกการทดสอบแบบคลุมเครือ ดังนั้นรางวัลสำหรับช่องโหว่ในบิลด์ทุกคืนจะได้รับการจ่ายก็ต่อเมื่อปัญหาปรากฏอยู่ในที่เก็บหลักนานกว่า 4 วันและไม่ได้รับการระบุโดยภายใน เช็คและพนักงาน Mozilla
ที่มา: opennet.ru