Mozilla 宣布扩大其漏洞赏金计划,增加了一个新的类别,主要是针对 Firefox 中的漏洞缓解、安全功能和防御深度措施的绕过方法。
在 Firefox 中,我们引入了重要的安全功能、漏洞缓解措施和深度防御措施。如果您能够绕过这些措施之一,即使您是在浏览器内以特权访问进行的操作,您也有资格获得赏金。
Mozilla 表示,到目前为止,缓解绕过一直被归类为中低严重性问题,但是作为新的 Exploit Mitigation Bug Bounty 的一部分,它们现在有资格获得与高严重性缺陷相关的奖励。
据介绍,如果研究人员提交高质量的报告,则其具有特权访问权限的绕过缓解措施最多可为他们赚取 5,000 美元。但是,如果绕过缓解措施而没有特权访问(通常涉及链接多个弱点),则研究人员可以获得针对漏洞本身的奖励,以及绕过缓解措施的 50% 的奖励。
此外,Mozilla 也表示,它仍鼓励研究人员测试 Firefox Nightly,但在 Nightly 中发现的漏洞只有在引入该漏洞的代码更改被发布到主仓库的四天内没有被 Mozilla 内部发现时,研究人员才有资格获得赏金。
前些日子,Mozilla 刚宣布了裁员 25%。因此,其扩大漏洞赏金计划的消息一经发布后,也受到了外界一些人批评。对此,该公司则回应称,最近的裁员不会影响负责 Firefox 浏览器和 Firefox 服务安全的团队。
目前 Mozilla 已经发布了一份 Exploit Mitigation Bug Bounty 所涵盖的缓解措施列表,具体可查看:https://www.mozilla.org/en-US/security/client-bug-bounty/