Mozilla расширила программу выплаты вознаграждений за выявление уязвимостей
19 августа 2020 года
Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов.
В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам "about:", запрет загрузки в родительском процессе страниц, отличных от "chrome://", "resource://" и "about:", запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется для построения интерфейса браузера) и непривилегированного кода JavaScript. В качестве примера ошибки, подпадающей под выплату нового вознаграждения, приводится забытая проверка на eval() в потоках Web Worker-ов.
При выявлении уязвимости и обходе механизмов защиты от эксплоитов исследователь сможет получить дополнительно 50% от базового вознаграждения, присуждаемого за выявленную уязвимость (например, за UXSS-уязвимость, обходящую механизм HTML Sanitizer, можно будет получить $7000 плюс надбавку в $3500). Примечательно, что расширение программы выплаты вознаграждений независимым исследователем проведено на фоне недавнего увольнения 250 сотрудников Mozilla, под которое попала вся команда реагирования на угрозы (Threat management team), занимавшаяся выявлением и разбором инцидентов, а также часть команды Security team.
Кроме того, сообщается об изменении правил применении программы выплаты вознаграждений к уязвимостям, выявляемым в ночных сборках. Отмечается, что подобные уязвимости часто сразу обнаруживаются в процессе внутренних автоматизированных проверок и fuzzing-тестирования. Сообщения о подобных ошибках не приводят к улучшению безопасности Firefox и усовершенствованию механизмов fuzzing-тестирования, поэтому вознаграждения за уязвимости в ночных сборках будут выплачиваться только если проблема присутствует в основном репозитории более 4 дней и осталась не выявлена внутренними проверками и сотрудниками Mozilla.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
