Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов.
В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам "about:", запрет загрузки в родительском процессе страниц, отличных от "chrome://", "resource://" и "about:", запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется для построения интерфейса браузера) и непривилегированного кода JavaScript. В качестве примера ошибки, подпадающей под выплату нового вознаграждения, приводится забытая проверка на eval() в потоках Web Worker-ов.
При выявлении уязвимости и обходе механизмов защиты от эксплоитов исследователь сможет получить дополнительно 50% от базового вознаграждения, присуждаемого за выявленную уязвимость (например, за UXSS-уязвимость, обходящую механизм HTML Sanitizer, можно будет получить $7000 плюс надбавку в $3500). Примечательно, что расширение программы выплаты вознаграждений независимым исследователем проведено на фоне недавнего увольнения 250 сотрудников Mozilla, под которое попала вся команда реагирования на угрозы (Threat management team), занимавшаяся выявлением и разбором инцидентов, а также часть команды Security team.
Кроме того, сообщается об изменении правил применении программы выплаты вознаграждений к уязвимостям, выявляемым в ночных сборках. Отмечается, что подобные уязвимости часто сразу обнаруживаются в процессе внутренних автоматизированных проверок и fuzzing-тестирования. Сообщения о подобных ошибках не приводят к улучшению безопасности Firefox и усовершенствованию механизмов fuzzing-тестирования, поэтому вознаграждения за уязвимости в ночных сборках будут выплачиваться только если проблема присутствует в основном репозитории более 4 дней и осталась не выявлена внутренними проверками и сотрудниками Mozilla.