Mozilla kompaniyasi Firefox-da xavfsizlik muammolarini aniqlaganlik uchun pul mukofotlarini to'lash tashabbusini kengaytirish haqida. To'g'ridan-to'g'ri zaifliklarga qo'shimcha ravishda, Bug Bounty dasturi endi qamrab oladi brauzerda ekspluatatsiyalarning ishlashiga to'sqinlik qiluvchi mexanizmlarni chetlab o'tish.
Bunday mexanizmlar imtiyozli kontekstda foydalanishdan oldin HTML fragmentlarini tozalash tizimini, DOM tugunlari va satrlari/ArrayBufferlar uchun xotirani almashish, tizim kontekstida va asosiy jarayonda eval() ni taqiqlash, xizmat ko'rsatish uchun qat'iy CSP (Content Security Policy) cheklovlarini qo'llashni o'z ichiga oladi. haqidaβ sahifalari :", asosiy jarayonda "chrome://", "resource://" va "haqida:" dan boshqa sahifalarni yuklashni taqiqlash, asosiy jarayonda tashqi JavaScript kodini bajarishni taqiqlash, imtiyozlarni chetlab o'tish ajratish mexanizmlari (interfeys brauzerini yaratish uchun foydalaniladi) va imtiyozsiz JavaScript kodi. Yangi ish haqini to'lash uchun mos keladigan xatoga misol: Web Worker mavzularida eval() ni tekshirish.
Zaiflikni aniqlash va ekspluatatsiyadan himoya qilish mexanizmlarini chetlab o'tish orqali tadqiqotchi asosiy mukofotning qo'shimcha 50 foizini olishi mumkin, aniqlangan zaiflik uchun (masalan, UXSS-ni chetlab o'tuvchi zaiflik uchun , siz $7000 va $3500 bonus olishingiz mumkin). Shunisi e'tiborga loyiqki, mustaqil tadqiqotchilar uchun kompensatsiya dasturining kengayishi so'nggi yillar fonida amalga oshirilmoqda. 250 Mozilla xodimlari, ular ostida hodisalarni aniqlash va tahlil qilish bilan shug'ullangan butun Tahdidlarni boshqarish guruhi, shuningdek Xavfsizlik jamoasi.
Bundan tashqari, tungi qurilishlarda aniqlangan zaifliklarga bounty dasturini qo'llash qoidalari o'zgargani xabar qilingan. Ta'kidlanishicha, bunday zaifliklar ko'pincha ichki avtomatlashtirilgan tekshiruvlar va fuzzing testlari paytida darhol aniqlanadi. Bunday xatolar haqida xabarlar Firefox xavfsizligini yaxshilashga yoki sinov mexanizmlarini noaniq qilishga olib kelmaydi, shuning uchun tungi tuzilmalardagi zaifliklar uchun mukofotlar faqat muammo asosiy omborda 4 kundan ortiq mavjud bo'lsa va ichki ma'lumotlar bazasi tomonidan aniqlanmagan bo'lsa to'lanadi. cheklar va Mozilla xodimlari.
Manba: opennet.ru