The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla расширила программу выплаты вознаграждений за выявление уязвимостей

19.08.2020 08:51

Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов.

В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам "about:", запрет загрузки в родительском процессе страниц, отличных от "chrome://", "resource://" и "about:", запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется для построения интерфейса браузера) и непривилегированного кода JavaScript. В качестве примера ошибки, подпадающей под выплату нового вознаграждения, приводится забытая проверка на eval() в потоках Web Worker-ов.

При выявлении уязвимости и обходе механизмов защиты от эксплоитов исследователь сможет получить дополнительно 50% от базового вознаграждения, присуждаемого за выявленную уязвимость (например, за UXSS-уязвимость, обходящую механизм HTML Sanitizer, можно будет получить $7000 плюс надбавку в $3500). Примечательно, что расширение программы выплаты вознаграждений независимым исследователем проведено на фоне недавнего увольнения 250 сотрудников Mozilla, под которое попала вся команда реагирования на угрозы (Threat management team), занимавшаяся выявлением и разбором инцидентов, а также часть команды Security team.

Кроме того, сообщается об изменении правил применении программы выплаты вознаграждений к уязвимостям, выявляемым в ночных сборках. Отмечается, что подобные уязвимости часто сразу обнаруживаются в процессе внутренних автоматизированных проверок и fuzzing-тестирования. Сообщения о подобных ошибках не приводят к улучшению безопасности Firefox и усовершенствованию механизмов fuzzing-тестирования, поэтому вознаграждения за уязвимости в ночных сборках будут выплачиваться только если проблема присутствует в основном репозитории более 4 дней и осталась не выявлена внутренними проверками и сотрудниками Mozilla.

  1. Главная ссылка к новости (https://blog.mozilla.org/attac...)
  2. OpenNews: Компания Mozilla объявила об увольнении 250 сотрудников
  3. OpenNews: Инициатива по выплате вознаграждений за поиск уязвимостей на сайтах Mozilla
  4. OpenNews: Началось формирование ASan-сборок Firefox для выявления проблем при работе с памятью
  5. OpenNews: Pwnie Awards 2019: наиболее существенные уязвимости и провалы в безопасности
  6. OpenNews: Mozilla расширяет программу выплаты вознаграждений за выявление уязвимостей
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/53567-mozilla
Ключевые слова: mozilla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (58) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:30, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Ну да. После того как уволили все жареный петух клюнул - «кому нужен современный браузер без безопасности и реагирования на уязвимости».

    Вот только новость не говорит что выплата на усмотрение компании. То есть они деньгами помахали, а могут и не платить тебе

     
     
  • 2.4, Аноним (4), 10:14, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это видимо планировалось ещё когда отдел сокращали. "Зачем нам red teamы, мы лучше их сократим, чтобы Митчел Бейкер премию выплатить, а уязвимости теперь нам будут присылать только лохи". Кстати, идея для улучшения финансирования премии Митчел Бейкер - заключить договор с Vupen и Zerodium, что все сообщения об уязвимостях будут переправляться напрямую им, а уже они будут присылать мозилле те, что им не нужны, для поддержания имижда Мозиллы как борцов с уязвимостями.
     
     
  • 3.58, solardiz (ok), 19:01, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У нее действительно была такая идея или это вы как-бы ей подсказываете? Если была, можно ссылку на источник? Допускаю любой вариант, но хотел бы не гадать, а знать, если это возможно. Спасибо.
     

  • 1.2, helgi (??), 09:46, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Что-то мозиллу лихорадит. Людей увольняет, раст отделяет...
     
     
  • 2.3, аноним12345 (?), 10:01, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Да не мозиллу лихорадит, а мировую экономику лихорадит
    На плаву отанутся гиганты, мелочь сдохнет
    Мозиллу ждут нелегкие времена
     
     
  • 3.6, Аноним (6), 10:23, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ты, это, завязывай с телевизором.
     
     
  • 4.10, Annoynymous (ok), 10:43, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Да, мировую экономику не лихорадит, это всё происки телевизора. Экономика стронг и грейт эгейн!
     
  • 2.44, Ordu (ok), 17:31, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И правильно, что лихорадит. Хорошо, конечно, что гугл финансирует мозиллу, но надо искать диверсификации. А это непросто и не получается. Пускай лихорадит, не выходя из зоны комфорта невозможно чего-либо добиться в этой жизни.
     
     
  • 3.57, пох. (?), 13:17, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У меня для тебя есть охеренное предложение!

    Надо поохранять одну скважинку в, допустим, Венесуэле!
    Комфорта, правда, не обещаю...

     

  • 1.5, Аноним (6), 10:22, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Программистов выгнали, дешевле платить другим за поиск багов.
     
     
  • 2.11, m.makhno (ok), 10:43, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    для такого нужны тестеры а не прогеры
     
     
  • 3.36, a (??), 14:30, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, так и пишем, програмисты теперь могут писать лютое говно как им захочется, код не проверять за нас это сделают. Фух так стало проще теперь, ура!
     
     
  • 4.41, Аноним4ег (?), 15:37, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Бесит меня, когда пытаешься сохранить JPG файл, а мозила упорно предлагает WEBP.. кто-то пропустил этот минор4ег в прод!
     
     
  • 5.46, Аноним (46), 18:40, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    инновации яндекса
     
  • 5.49, Аноним (49), 00:12, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    зато на расте :)
     

  • 1.7, Аноним (4), 10:25, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >The sanitizer is implemented as an allow-list
    >2019

    Видимо грепом заменили на своих сайтах неполиткорректные слова.

     
     
  • 2.17, Аноним (17), 11:38, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    s/греп/сед/
     

  • 1.8, Аноним (8), 10:27, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://blog.mozilla.org/blog/2020/08/11/changing-world-changing-mozilla/
     
     
  • 2.14, аноним12345 (?), 10:55, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Противоречивая статья
    С одной стороны, будем развивать опен-соурс и комьюнити, которое нам будет бесплатно делать мозиллу еще лучше
    С другой стороны, осознание того, что этот мир построен на деньгах, и за бесплатно никто палец о палец не ударит
     
     
  • 3.18, Al (??), 11:40, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ради такой мозилы никто и не почешеться что-то делать. Там столько наворотили, что наверное проще начать с нуля, чем переделывать уже имеющееся.
     
     
  • 4.24, Дима (??), 12:32, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Боюсь вы правы( Было время, как у Firefox был лучший инспектор и сам дебажил код через него, но уже много лет Chrome впереди. При этом печальная истина такова, что ныне веб-стандарты настолько сложно и мностроузорны, что появление конкурентов просто невозможно - банально никто уже не потянет такой объем работы, который потребуется для создания нового движка.
     
     
  • 5.27, аноним12345 (?), 13:06, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мне это напоминает историю с операционными системами
    Энтузиаст пишет ядро, публикует его, потом появляется комьюнити, которое его поддерживает,
    ядро какое-то время развивается, а потом появляется дядя, который все это покупает,
    переводя разработку на промышленные релься, и прощай опен-сорс
    Как бы  мозилкой не случилось то же самое
     
     
  • 6.52, X (?), 02:33, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мазе повезёт если её гуголь купит.
     
  • 3.33, Аноним (33), 14:06, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Евстевственно, статья противоречивая, как и все мысли руководства мозиллы, начиная с Года Зла и Феминизма (2016). Они и не смогут избавиться от проявляющихся в каждый момент противоречий, пока не осознают и не признают, что сообщество отверунлось от них именно из-за того, что к власти у них пришла феменистка, вкорячившая на место нормального FF свой ЗЛОквантум.

    Другими словами, присоединюсь к комментатору выше: опенсорс-сообщество действительно в основном работает бесплатно, так же как и голосует на выборах, в этом его суть. Но только оно не хочет работать ради ТАКОЙ мозиллы.

     
  • 3.43, Ordu (ok), 17:27, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Противоречивая статья
    > С одной стороны, будем развивать опен-соурс и комьюнити, которое нам будет бесплатно делать мозиллу еще лучше
    > С другой стороны, осознание того, что этот мир построен на деньгах, и за бесплатно никто палец о палец не ударит

    Да нет там никаких противоречий. Противоречия, если чё, бывают только в математике, в реальности бывают конфликты -- конфликты интересов например. И в реальности конфликт -- это не крест на всём построении, обесценивающий всё сделанное и показывающий, что оно яйца выеденного не стоит, в реальности конфликт -- это часть рутинного развития событий. Математика, кстати, тоже умеет с конфликтами работать -- всякие там вариационные исчисления, линейное программирование, и прочие теории заточенные на оптимизацию, это как раз к тому. Хотя, математика, как всегда убого заходит к вопросу, игнорируя половину интересных возможностей, которые есть в любом реальном конфликте.

    Ну вот глянь, я хожу на работу, хотя я вполне могу найти своему времени более интересные применения. Но я хожу туда, потому что деньги нужны. Это самый натуральный конфликт интересов: кушать хочется и проводить время интересно хочется, и вот я привношу в свою жизнь работу.

    Это _нормальное_ положение дел, так и должно быть. Если в твоей жизни не так, то... даже не знаю, что "то". Мне было бы интересно послушать об этом, если в твоей жизни не так.

     

  • 1.12, Аноним (49), 10:50, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > чистки... разделение... запрет... ограничений... запрет... запрет...

    Раст - это безопасно и надёжно, говорили они.

     
     
  • 2.21, Аноним (21), 12:07, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там кода на Расте не столь много, чтоб он глобально в целом как-то влиял на безопасность
    Конечно, это лучше, чем ничего
     
     
  • 3.48, Аноним (49), 19:50, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > на Расте не столь много

    А чего так?! Сложно писать? Лет через 30 - справятся? Уже 10 лет прошло... Или так и будут придумывать розовые молотки с двумя ручками?

     
     
  • 4.70, Аноним (70), 02:23, 05/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Раст не столь давно добавлять начали. С Квантума.
    И уже довольно много всего разного есть.
    Но базовый код и js до сих пор на легаси.
     
  • 2.29, Аноним4ег (?), 13:22, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Звучит как стоп-слово :3
     

  • 1.15, Al (??), 11:13, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пора откапывать Links?
     
  • 1.16, Аноним (16), 11:33, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это уже не спасёт.
     
  • 1.19, Nonymous (?), 11:41, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Брайзер FF будет существовать на деньги гугла, чтобы последнего не обвиняли в монополии. Впрочем доля FF постоянно снижается. Гляньте последнюю статистику по браузерам.
     
     
  • 2.31, Аноним (31), 13:48, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да это всем уже понятно. Кроме растофанатиков и остальных любителей швaбодки.
     

  • 1.20, Аноним (20), 11:57, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    наконец то нашел нормальный переводчик для firefox https://filipeps.github.io/Traduzir-paginas-web/
     
     
  • 2.53, X (?), 02:35, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Жду версию для хромиума
     

  • 1.23, Аноним (23), 12:14, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Вся суть опеннета. Мозилла делает единственный по-настоящему опенсорс браузер (хром внезапно не опенсорс, да, а хромиум не мейн браузер). Испытывает какие-то сложности.
    Но нет, неблагодарная херабора в новостях о мозилле рвет и мечет, а в постах о гугле (ТОГО САМОГО ГУГЛА, который зондирует задницу каждого) всё относительно спокойно. И нет хотя бы морально поддержать Мозиллу в эти сложные времена. Хотя бы просто промолчать, если не все элементы политики по душе.
    Вот откуда вы такие озлобленные перчики берётесь, и зачем сидите в Линукс коммьюнити.
     
     
  • 2.26, m.makhno (ok), 12:54, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вся суть опеннета

    и прочих токсичных сообществ

     
  • 2.28, аноним12345 (?), 13:12, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    История повторяется
    Все форумы забиты троллями от майкрософт
    Теперь можно сказать, что и гугла тоже есть своя собственная армия троллей
     
     
  • 3.50, Аноним (16), 00:21, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ху из тролль?
     
  • 2.32, Anonymous123 (?), 13:50, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Делает? Ааа, а я думал там в основном остались менеджера, которые занимаются поддержкой заднеприводных, а не браузера. И ладно бы, лично поддерживаешь, ну молодец, но нет - используют firefox как площадку для донесения пропаганды про социально обиженных групп.
     
     
  • 3.38, Аноним (21), 15:23, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А кто сказал, что пропаганда защиты реально угнетённых - это плохо? Хотя бы даже по слову "заднеприводных" видно, что это и правда необходимо.

    Впрочем, не знаю, кто там и что использует, о пропаганде слышал только из новостей, лично мне никто ничего в самом браузере не пропагандировал. Использую Firefox и на десктопе, и мобилках. ЧЯДНТ?

     
  • 2.34, Аноним (33), 14:13, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > единственный по-настоящему опенсорс браузер

    ВНЕЗАПНО, opensource - необходимое условие хорошести и безопасности браузера, но никак не достаточное. Когда у них всем управляет феменистка, которую УЖЕ ловили на отправке телеметрии и удалённом изменении кода браузера (история с протуханием сертификатов всех дополнений, даже квантовых), то никто не может быть уверен, что следующим шагом в неё так же незаметно будет добавлен код (открытый!), точно так же открыто помогающий отлавливать харассмент-комментарии и их авторов.

    Единственный хороший браузер на данный момент - FF52. И он ВНЕЗАПНО уже написан.

     
     
  • 3.39, Аноним (21), 15:24, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Разве в Firefox была персонализированная телеметрия?
     
     
  • 4.47, Аноним (46), 18:59, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    телеметрия и хороший браузер несовместимы
     
  • 4.60, Аноним (16), 19:46, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так то ж хороший браузер. А это мазила.
     
  • 2.35, Аноним (16), 14:16, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хм... Внезапный вывод. Опенсорсные браузеры совсем не гуд. И мазила тому подтверждение.
     
     
  • 3.40, Аноним (21), 15:26, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, а типа Хром и ко - венец и добропорядочны
     
  • 2.37, Nonymous (?), 14:51, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >морально поддержать Мозиллу

    Что за бред 😄

     
  • 2.42, nickname (??), 15:55, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Поддерживать всегда лучше материально. Кнопку "Сделать пожертвование" найти не сложно. И лучше это делать регулярно, но по чуть-чуть, чем однократно, но побольше.
     
  • 2.45, Тормозила (?), 18:29, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В 2014 они выбрали вектор развития и их доля с 20% упала на то.что есть. Сомневаюсь,что представителей БЛМ и радужных будет достаточно,чтобы браузер удержал 5%
     

  • 1.54, admgoat (?), 06:50, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Выпустили свой говно браузер без about:config
     
     
  • 2.62, admgoat (?), 02:11, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Короче выкосил я их недобраузер и поставил IceCat for Android!
     
     
  • 3.65, Аноним (16), 10:44, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А фор не андроид, а десктоп?
     
     
  • 4.68, admgoat (?), 22:31, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А фор не андроид, а десктоп?

    а на десктопе уже стоит FF полноценный и кастрированный без телеметрии

     
  • 2.64, Аноним (16), 10:43, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Альтернативу нашёл?
     
     
  • 3.67, admgoat (?), 22:30, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Альтернативу нашёл?

    Да IceCat

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру