Компанія Mozilla про розширення ініціативи щодо виплати грошових винагород за виявлення проблем з безпекою у Firefox. Крім безпосередньо вразливостей, програма Bug Bounty тепер охоплюватиме і обходу наявних у браузері механізмів, що перешкоджають роботі експлоїтів.
До таких механізмів входить система чищення фрагментів HTML перед використанням у привілейованому контексті, поділ пам'яті для вузлів DOM і рядків/ArrayBuffers, заборона eval() у системному контексті та батьківському процесі, застосування жорстких обмежень CSP (Content Security Policy) до службових сторінок «about :», заборона завантаження в батьківському процесі сторінок, відмінних від «chrome://», «resource://» та «about:», заборона виконання зовнішнього JavaScript-коду в батьківському процесі, обхід механізмів поділу привілейованого (використовується для побудови інтерфейсу браузера) та непривілейованого коду JavaScript. Як приклад помилки, що підпадає під виплату нової винагороди, наводиться перевірка на eval() у потоках Web Worker-ів.
При виявленні вразливості та обході механізмів захисту від експлоїтів дослідник зможе отримати додатково 50% від базової винагороди, за виявлену вразливість (наприклад, за UXSS-уразливість, що обходить механізм , можна буде отримати $7000 плюс надбавку $3500). Цікаво, що розширення програми виплати винагород незалежним дослідником проведено на тлі недавнього 250 співробітників Mozilla, під яке вся команда реагування на погрози (Threat management team), що займалася виявленням та розбором інцидентів, а також Security team.
Крім того, повідомляється про зміну правил застосування програми виплати винагород до вразливостей, що виявляються у нічних зборах. Зазначається, що подібні вразливості часто одразу виявляються у процесі внутрішніх автоматизованих перевірок та fuzzing-тестування. Повідомлення про подібні помилки не призводять до покращення безпеки Firefox та удосконалення механізмів fuzzing-тестування, тому винагороди за вразливість у нічних збірках будуть виплачуватись лише якщо проблема присутня в основному репозиторії більше 4 днів і залишилася не виявлена внутрішніми перевірками та співробітниками Mozilla.
Джерело: opennet.ru