摩斯拉公司 關於擴大為發現 Firefox 安全問題而支付現金獎勵的計劃。除了直接漏洞之外,Bug Bounty 計劃現在還涵蓋 繞過瀏覽器中阻止漏洞的機制。
這些機制包括在特權上下文中使用先前清理HTML 片段的系統、為DOM 節點和字串/ArrayBuffer 共享記憶體、在系統上下文和父進程中禁止eval()、對服務應用嚴格的CSP(內容安全策略)限制。權限分離機制(用於建立介面瀏覽器)和非特權 JavaScript 程式碼。有資格支付新報酬的錯誤範例是: 檢查 Web Worker 執行緒中的 eval()。
透過識別漏洞並繞過漏洞保護機制,研究人員將能夠額外獲得基礎獎勵的 50%, 對於已識別的漏洞(例如,對於繞過 ,您可以獲得 7000 美元外加 3500 美元的獎金)。值得注意的是,獨立研究員薪酬計劃的擴大是在最近的背景下進行的。 250 名 Mozilla 員工,其中 整個威脅管理團隊,參與識別和分析事件,以及 保安隊。
此外,據報道,將賞金計劃應用於夜間建造中發現的漏洞的規則也發生了變化。值得注意的是,此類漏洞通常在內部自動檢查和模糊測試期間立即被檢測到。此類錯誤的報告不會導致 Firefox 安全性或模糊測試機制的改進,因此只有當問題在主存儲庫中存在超過 4 天並且尚未被內部識別時,才會對夜間構建中的漏洞進行獎勵檢查和Mozilla 員工。
來源: opennet.ru
