Mozilla расширила программу выплаты вознаграждений за выявление уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов.
В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам "about:", запрет загрузки в родительском процессе страниц, отличных от "chrome://", "resource://" и "about:", запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется для построения интерфейса браузера) и непривилегированного кода JavaScript. В качестве примера ошибки, подпадающей под выплату нового вознаграждения, приводится забытая проверка на eval() в потоках Web Worker-ов.
При выявлении уязвимости и обходе механизмов защиты от эксплоитов исследователь сможет получить дополнительно 50% от базового вознаграждения, присуждаемого за выявленную уязвимость (например, за UXSS-уязвимость, обходящую механизм HTML Sanitizer, можно будет получить $7000 плюс надбавку в $3500). Примечательно, что расширение программы выплаты вознаграждений независимым исследователем проведено на фоне недавнего увольнения 250 сотрудников Mozilla, под которое попала вся команда реагирования на угрозы (Threat management team), занимавшаяся выявлением и разбором инцидентов, а также часть команды Security team.
Кроме того, сообщается об изменении правил применении программы выплаты вознаграждений к уязвимостям, выявляемым в ночных сборках. Отмечается, что подобные уязвимости часто сразу обнаруживаются в процессе внутренних автоматизированных проверок и fuzzing-тестирования. Сообщения о подобных ошибках не приводят к улучшению безопасности Firefox и усовершенствованию механизмов fuzzing-тестирования, поэтому вознаграждения за уязвимости в ночных сборках будут выплачиваться только если проблема присутствует в основном репозитории более 4 дней и осталась не выявлена внутренними проверками и сотрудниками Mozilla.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.mozilla.org/attac...)
- OpenNews: Компания Mozilla объявила об увольнении 250 сотрудников
- OpenNews: Инициатива по выплате вознаграждений за поиск уязвимостей на сайтах Mozilla
- OpenNews: Началось формирование ASan-сборок Firefox для выявления проблем при работе с памятью
- OpenNews: Pwnie Awards 2019: наиболее существенные уязвимости и провалы в безопасности
- OpenNews: Mozilla расширяет программу выплаты вознаграждений за выявление уязвимостей
Похожие новости:
- Анонсировано создание независимой от Mozilla организации Rust Foundation
- [Firefox, Браузеры, IT-компании] Mozilla — прекрасная IT-компания, которую мы теряем (перевод)
- [Поисковые технологии, IT-компании] Mozilla и Google продлят сделку по поиску по умолчанию в Firefox до 2023. Её оценивают в $400-450 млн в год
- [Управление продуктом, Карьера в IT-индустрии, Финансы в IT, IT-компании] Mozilla сократит 250 человек из-за пандемии
- Компания Mozilla объявила об увольнении 250 сотрудников
- Представлен Firefox Reality PC Preview для устройств виртуальной реальности
- Mozilla воспользовалась push-уведомлениями для распространения политической рекламы в Firefox
- Официально запущен сервис Mozilla VPN
- [Браузеры, Информационная безопасность, Серверное администрирование] Почему удостоверяющие центры не соблюдают требование CA/Browser к сертификатам
- [IT-компании, Информационная безопасность] Mozilla временно отключила сервис отправки файлов Firefox Send: через него передавали зловреды
Теги для поиска: #_mozilla
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 06:11
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов. В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам "about:", запрет загрузки в родительском процессе страниц, отличных от "chrome://", "resource://" и "about:", запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется для построения интерфейса браузера) и непривилегированного кода JavaScript. В качестве примера ошибки, подпадающей под выплату нового вознаграждения, приводится забытая проверка на eval() в потоках Web Worker-ов. При выявлении уязвимости и обходе механизмов защиты от эксплоитов исследователь сможет получить дополнительно 50% от базового вознаграждения, присуждаемого за выявленную уязвимость (например, за UXSS-уязвимость, обходящую механизм HTML Sanitizer, можно будет получить $7000 плюс надбавку в $3500). Примечательно, что расширение программы выплаты вознаграждений независимым исследователем проведено на фоне недавнего увольнения 250 сотрудников Mozilla, под которое попала вся команда реагирования на угрозы (Threat management team), занимавшаяся выявлением и разбором инцидентов, а также часть команды Security team. Кроме того, сообщается об изменении правил применении программы выплаты вознаграждений к уязвимостям, выявляемым в ночных сборках. Отмечается, что подобные уязвимости часто сразу обнаруживаются в процессе внутренних автоматизированных проверок и fuzzing-тестирования. Сообщения о подобных ошибках не приводят к улучшению безопасности Firefox и усовершенствованию механизмов fuzzing-тестирования, поэтому вознаграждения за уязвимости в ночных сборках будут выплачиваться только если проблема присутствует в основном репозитории более 4 дней и осталась не выявлена внутренними проверками и сотрудниками Mozilla. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 06:11
Часовой пояс: UTC + 5