Mozilla расширила программу выплаты вознаграждений за выявление уязвимостей

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 19 Aug 2020.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,117
    Likes Received:
    5,345
    Reputations:
    693
    Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов.

    В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам "about:", запрет загрузки в родительском процессе страниц, отличных от "chrome://", "resource://" и "about:", запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется для построения интерфейса браузера) и непривилегированного кода JavaScript. В качестве примера ошибки, подпадающей под выплату нового вознаграждения, приводится забытая проверка на eval() в потоках Web Worker-ов.

    При выявлении уязвимости и обходе механизмов защиты от эксплоитов исследователь сможет получить дополнительно 50% от базового вознаграждения, присуждаемого за выявленную уязвимость (например, за UXSS-уязвимость, обходящую механизм HTML Sanitizer, можно будет получить $7000 плюс надбавку в $3500). Примечательно, что расширение программы выплаты вознаграждений независимым исследователем проведено на фоне недавнего увольнения 250 сотрудников Mozilla, под которое попала вся команда реагирования на угрозы (Threat management team), занимавшаяся выявлением и разбором инцидентов, а также часть команды Security team.

    Кроме того, сообщается об изменении правил применении программы выплаты вознаграждений к уязвимостям, выявляемым в ночных сборках. Отмечается, что подобные уязвимости часто сразу обнаруживаются в процессе внутренних автоматизированных проверок и fuzzing-тестирования. Сообщения о подобных ошибках не приводят к улучшению безопасности Firefox и усовершенствованию механизмов fuzzing-тестирования, поэтому вознаграждения за уязвимости в ночных сборках будут выплачиваться только если проблема присутствует в основном репозитории более 4 дней и осталась не выявлена внутренними проверками и сотрудниками Mozilla.

     
    xlamerz, seostock, altblitz and 2 others like this.
  2. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    214
    Likes Received:
    720
    Reputations:
    10
    Продление договора с Google на кабальных условиях дало свои результаты :(
     
  3. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,717
    Likes Received:
    3,145
    Reputations:
    236
    Moderator форума Античат.ком ведёт совместные переговоры со членом.
    Член форума, предьявил дипломатическую ноту, красную и красивей которых не бывает ))

     
Loading...