Công ty Mozilla
Các cơ chế như vậy bao gồm hệ thống làm sạch các đoạn HTML trước khi sử dụng trong ngữ cảnh đặc quyền, chia sẻ bộ nhớ cho các nút và chuỗi DOM/ArrayBuffers, cấm eval() trong ngữ cảnh hệ thống và quy trình gốc, áp dụng các hạn chế nghiêm ngặt của CSP (Chính sách bảo mật nội dung) cho dịch vụ “ về” trang :", cấm tải các trang không phải là "chrome://", "resource://" và "about:" trong quy trình gốc, cấm thực thi mã JavaScript bên ngoài trong quy trình gốc, bỏ qua đặc quyền cơ chế phân tách (dùng để xây dựng trình duyệt giao diện) và mã JavaScript không có đặc quyền. Một ví dụ về sai sót có thể đủ điều kiện để thanh toán khoản thù lao mới là:
Bằng cách xác định lỗ hổng và bỏ qua các cơ chế bảo vệ khai thác, nhà nghiên cứu sẽ có thể nhận thêm 50% phần thưởng cơ bản,
Ngoài ra, có thông tin cho rằng các quy tắc áp dụng chương trình tiền thưởng cho các lỗ hổng được xác định trong các bản dựng hàng đêm đã thay đổi. Cần lưu ý rằng những lỗ hổng như vậy thường được phát hiện ngay lập tức trong quá trình kiểm tra tự động nội bộ và thử nghiệm làm mờ. Các báo cáo về các lỗi như vậy không dẫn đến cải thiện về cơ chế kiểm tra fuzz hoặc bảo mật của Firefox, vì vậy phần thưởng cho các lỗ hổng trong các bản dựng hàng đêm sẽ chỉ được trả nếu sự cố đã tồn tại trong kho lưu trữ chính hơn 4 ngày và chưa được nội bộ xác định. séc và nhân viên của Mozilla.
Nguồn: opennet.ru