Suicide
19.08.2020, 19:30
Компания Mozilla объявила (https://blog.mozilla.org/attack-and-defense/2020/08/18/exploit-mitigation-bounty/) о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы (https://www.mozilla.org/en-US/security/client-bug-bounty/#exploit-mitigation-bounty) обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов.
В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам "about:", запрет загрузки в родительском процессе страниц, отличных от "chrome://", "resource://" и "about:", запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется для построения интерфейса браузера) и непривилегированного кода JavaScript. В качестве примера ошибки, подпадающей под выплату нового вознаграждения, приводится забытая (https://bugzilla.mozilla.org/show_bug.cgi?id=1583949) проверка на eval() в потоках Web Worker-ов.
При выявлении уязвимости и обходе механизмов защиты от эксплоитов исследователь сможет получить дополнительно 50% от базового вознаграждения, присуждаемого (https://www.mozilla.org/en-US/security/client-bug-bounty/) за выявленную уязвимость (например, за UXSS-уязвимость, обходящую механизм HTML Sanitizer (https://blog.mozilla.org/attack-and-defense/2019/12/02/help-test-firefoxs-built-in-html-sanitizer-to-protect-against-uxss-bugs/), можно будет получить $7000 плюс надбавку в $3500). Примечательно, что расширение программы выплаты вознаграждений независимым исследователем проведено на фоне недавнего увольнения (https://www.opennet.ru/opennews/art.shtml?num=53533) 250 сотрудников Mozilla, под которое попала (https://twitter.com/MichalPurzynski/status/1293220570885062657) вся команда реагирования на угрозы (Threat management team), занимавшаяся выявлением и разбором инцидентов, а также часть команды (https://news.ycombinator.com/item?id=24121133) Security team.
Кроме того, сообщается об изменении правил применении программы выплаты вознаграждений к уязвимостям, выявляемым в ночных сборках. Отмечается, что подобные уязвимости часто сразу обнаруживаются в процессе внутренних автоматизированных проверок и fuzzing-тестирования. Сообщения о подобных ошибках не приводят к улучшению безопасности Firefox и усовершенствованию механизмов fuzzing-тестирования, поэтому вознаграждения за уязвимости в ночных сборках будут выплачиваться только если проблема присутствует в основном репозитории более 4 дней и осталась не выявлена внутренними проверками и сотрудниками Mozilla.
19.08.2020
https://www.opennet.ru/opennews/art.shtml?num=53567
В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам "about:", запрет загрузки в родительском процессе страниц, отличных от "chrome://", "resource://" и "about:", запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется для построения интерфейса браузера) и непривилегированного кода JavaScript. В качестве примера ошибки, подпадающей под выплату нового вознаграждения, приводится забытая (https://bugzilla.mozilla.org/show_bug.cgi?id=1583949) проверка на eval() в потоках Web Worker-ов.
При выявлении уязвимости и обходе механизмов защиты от эксплоитов исследователь сможет получить дополнительно 50% от базового вознаграждения, присуждаемого (https://www.mozilla.org/en-US/security/client-bug-bounty/) за выявленную уязвимость (например, за UXSS-уязвимость, обходящую механизм HTML Sanitizer (https://blog.mozilla.org/attack-and-defense/2019/12/02/help-test-firefoxs-built-in-html-sanitizer-to-protect-against-uxss-bugs/), можно будет получить $7000 плюс надбавку в $3500). Примечательно, что расширение программы выплаты вознаграждений независимым исследователем проведено на фоне недавнего увольнения (https://www.opennet.ru/opennews/art.shtml?num=53533) 250 сотрудников Mozilla, под которое попала (https://twitter.com/MichalPurzynski/status/1293220570885062657) вся команда реагирования на угрозы (Threat management team), занимавшаяся выявлением и разбором инцидентов, а также часть команды (https://news.ycombinator.com/item?id=24121133) Security team.
Кроме того, сообщается об изменении правил применении программы выплаты вознаграждений к уязвимостям, выявляемым в ночных сборках. Отмечается, что подобные уязвимости часто сразу обнаруживаются в процессе внутренних автоматизированных проверок и fuzzing-тестирования. Сообщения о подобных ошибках не приводят к улучшению безопасности Firefox и усовершенствованию механизмов fuzzing-тестирования, поэтому вознаграждения за уязвимости в ночных сборках будут выплачиваться только если проблема присутствует в основном репозитории более 4 дней и осталась не выявлена внутренними проверками и сотрудниками Mozilla.
19.08.2020
https://www.opennet.ru/opennews/art.shtml?num=53567