Mozilla memperluas program bug bounty untuk menutupi pembayaran bypass mitigasi eksploitasi

UPDATED Mozilla telah memperluas program bug bounty yang mapan untuk menawarkan hadiah untuk penemuan kekurangan dalam teknologi mitigasi eksploitasinya.

Exploit Mitigation Bounty baru akan menawarkan pembayaran hingga $ 10.000 kepada peretas etis yang bekerja keluar mekanisme untuk mengalahkan mitigasi eksploitasi dan langkah-langkah pertahanan mendalam yang dibangun ke dalam browser web Firefox.

Pembayaran akan terjadi bahkan untuk bug dalam mengeksploitasi mitigasi yang bergantung pada akses istimewa - faktor yang sebelumnya akan mengesampingkan hadiah apa pun.

Mengeksploitasi bug mitigasi yang bekerja tanpa mengandalkan akses istimewa akan memenuhi syarat untuk bonus 50%.

"Meskipun sebelumnya, melewati mitigasi dalam skenario pengujian - seperti langsung menguji HTML Sanitizer - akan diklasifikasikan sebagai sec-rendah atau sec-moderat, sekarang akan memenuhi syarat untuk karunia setara dengan sec-tinggi," Mozilla menjelaskan dalam posting blog.

“Additionally, if the vulnerability is triggerable without privileged access, this would count as both a regular security vulnerability eligible for a bounty and a mitigation bypass, earning a bonus payout.”

Another change, also announced on August 18, sees the introduction of a policy to pay out on security bugs discovered by external researchers in the pre-release Nightly versions of Firefox, after a four-day grace period.

“We still want to encourage bounty hunting on Nightly – even if other bounty programs don’t – but issuing bounties for obvious transient issues we find ourselves is not improving the state of Firefox security or encouraging novel fuzzer improvements,” Mozilla explained.

Restrukturisasi

Perubahan terbaru mengikuti perubahan besar untuk program bug bounty Mozilla kembali pada bulan April yang menawarkan pembayaran yang lebih tinggi dan membuang kebijakan 'reporter pertama' sebelumnya demi imbalan keuangan bersama.

Awal bulan ini, pembuat Firefox mengumumkan rencana restrukturisasi yang akan mengakibatkan hilangnya 250 pekerjaan.

Mitchell Baker mozilla menyalahkan "kondisi ekonomi yang dihasilkan dari pandemi global telah secara signifikan berdampak pada pendapatan kami" atas kerugian tersebut.

Mozilla mengatakan kepada The Daily Swig bahwa restrukturisasi yang sedang berlangsung tidak akan mempengaruhi strategi bug bounty-nya.

"Update Bug Bounty Program terbaru kami adalah bagian dari inisiatif yang lebih luas yang bertujuan untuk meningkatkan kolaborasi dengan para peneliti dengan berbagi pekerjaan kami dan membukanya untuk pengawasan dari peneliti keamanan yang mapan serta muncul di komunitas bug bounty," katanya. "Keamanan pengguna kami tetap integral dengan pekerjaan kami di Firefox. Kami bergerak maju dengan program seperti yang direncanakan."