Выплаты за баги в Firefox значительно увеличились
Новости Программы
Рэймонд Форбс (Raymond Forbes), программный инженер в Mozilla, опубликовал на официальном сайте компании сообщение о том, что теперь выплаты за найденные баги значительно увеличились и что размер премии будет определяться в зависимости от степени критичности уязвимости, простоты ее эксплуатации, а также качества заявки, сообщает «Лаборатория Касперского».
Форбс пояснил, что в последний раз Mozilla повышала размер выплаты до $3000 пять лет назад.
«Мы значительно увеличили размер премий, выплачиваемых за обнаруженные уязвимости, — сказал Форбс. — Кроме того, мы пересмотрели требования к заявкам, на основе которых формируется стоимость бага».
Комитет, координирующий работу программы Bug Bounty в Mozilla, по словам Форбса, переосмыслил принципы определения размера выплат, а также впервые решил выплачивать премии за уязвимости средней степени критичности. До этого награда за обнаружение чрезвычайно критических и критических уязвимостей достигала $3000.
«Комитет оставляет за собой право на определение размера премии. Размер выплат составит от $500 до $2000, — отметил Форбс. — Это не значит, что за все баги умеренной степени критичности будет причитаться вознаграждение, но некоторые из них будут удостоены выплаты».
В Mozilla определили размер минимальной выплаты за уязвимости чрезвычайно высокой и высокой степени критичности — $3000; при этом заявка должна сопровождаться отчетом о проведении фаззинга или аварийным дампом. Тщательно подготовленная заявка об обнаружении критичной уязвимости может быть оценена в $5000; она должна включать тестовые сценарии и четкие данные о трассировке стека, объяснили в Mozilla.
За выявление очень серьезных багов Mozilla обещает по меньшей мере $7500. Обязательным условием является качественная подготовка заявки о критических уязвимостях вроде возможности удаленного исполнения кода; такая заявка также обязана включать PoC-эксплойт.
«Поимку» совершенно новых уязвимостей, обнаружение новых способов эксплуатации багов, а также предоставление информации об «исключительных» уязвимостях Mozilla оценивает в $10 тыс. и выше.
Самые высокие премии предназначены для исследователей, способных продемонстрировать совершенно новые типы атак, например способы обхода средств безопасности.
«Такие исследования могут касаться крайне серьезных, сложных или любопытных областей безопасности или неизвестных либо незапротоколированных проблем, — сказано в требованиях к участию в программе Mozilla. — Примеры таких багов — использование высвобожденной памяти, которое может привести к обходу ASLR или побегу из сэндбокса».
Mozilla также объявила, что она будет вести учет самых результативных участников программы, создав «Зал славы охотников за багами в Firefox»; на выделенной для этой цели веб-странице будет располагаться рейтинг ИБ-исследователей, участвующих в программе Bug Bounty с 2010 года.
|
29.11.2017 02:28
Что такое Portable-приложения
Софтодром рассказывает о том, что такое портативные приложения и в чем их преимущества перед непортативными
03.12.2017 01:04
Как скрыть папку на компьютере
Софтодром рассказывает о различных способах, которые позволяют скрыть папку или отдельные файлы в Windows
|
|
Все рубрики статей (1485 / 143):
|
|
