Обход защиты с привилегированным доступом может принести исследователям до $5 тыс.
Компания Mozilla сообщила о расширении своей программы вознаграждения за найденные уязвимости новой категорией, которая фокусируется на методах обхода мер по предотвращению эксплуатации уязвимостей, функций безопасности и мер «защиты в глубину» (Defense in Depth) в браузере Firefox.
Как сообщили представители компании, методы обхода мер по предотвращению эксплуатации уязвимостей до сих пор классифицировались как проблемы с низкой или средней опасностью, но теперь они имеют право на вознаграждение в рамках новой программы Exploit Mitigation Bug Bounty.
Таким образом, обход защиты с привилегированным доступом может принести исследователям до $5 тыс., если они представят высококачественный отчет. Однако, если средство защиты обходится без привилегированного доступа, что обычно связано с объединением более чем одной уязвимости, исследователи могут получить вознаграждение за саму уязвимость и бонус в размере 50% за обход защиты.
По словам Mozilla, компания по-прежнему поощряет исследователей тестировать сборку Firefox Nightly, но обнаружение уязвимостей в Nightly будет иметь право на вознаграждение только в том случае, если они не будут обнаружены специалистами Mozilla в течение четырех дней после изменения кода.
Спойлер: мы раскрываем их любимые трюки