Mozilla kompaniyasi
Bunday mexanizmlar imtiyozli kontekstda foydalanishdan oldin HTML fragmentlarini tozalash tizimini, DOM tugunlari va satrlari/ArrayBufferlar uchun xotirani almashish, tizim kontekstida va asosiy jarayonda eval() ni taqiqlash, xizmat ko'rsatish uchun qat'iy CSP (Content Security Policy) cheklovlarini qo'llashni o'z ichiga oladi. haqidaβ sahifalari :", asosiy jarayonda "chrome://", "resource://" va "haqida:" dan boshqa sahifalarni yuklashni taqiqlash, asosiy jarayonda tashqi JavaScript kodini bajarishni taqiqlash, imtiyozlarni chetlab o'tish ajratish mexanizmlari (interfeys brauzerini yaratish uchun foydalaniladi) va imtiyozsiz JavaScript kodi. Yangi ish haqini to'lash uchun mos keladigan xatoga misol:
Zaiflikni aniqlash va ekspluatatsiyadan himoya qilish mexanizmlarini chetlab o'tish orqali tadqiqotchi asosiy mukofotning qo'shimcha 50 foizini olishi mumkin,
Bundan tashqari, tungi qurilishlarda aniqlangan zaifliklarga bounty dasturini qo'llash qoidalari o'zgargani xabar qilingan. Ta'kidlanishicha, bunday zaifliklar ko'pincha ichki avtomatlashtirilgan tekshiruvlar va fuzzing testlari paytida darhol aniqlanadi. Bunday xatolar haqida xabarlar Firefox xavfsizligini yaxshilashga yoki sinov mexanizmlarini noaniq qilishga olib kelmaydi, shuning uchun tungi tuzilmalardagi zaifliklar uchun mukofotlar faqat muammo asosiy omborda 4 kundan ortiq mavjud bo'lsa va ichki ma'lumotlar bazasi tomonidan aniqlanmagan bo'lsa to'lanadi. cheklar va Mozilla xodimlari.
Manba: opennet.ru