• Главная
• Новости
• Mozilla подняла ставки за найденные баги

Mozilla подняла ставки за найденные баги

Программа Mozilla вознаграждения за выявленные ошибки и уязвимости действует с 2004 года. За 2017, 2018 и 2019 годы компания выплатила программистам почти миллион долларов. Было выявлено 350 уязвимостей. Чаще всего сумма вознаграждения составляла четыре тысячи долларов.

В конце 2019 года, в честь пятнадцатилетия браузера Firefox, Mozilla уже расширяла свою программу bug bounty, распространив ее на целый ряд новых сайтов и сервисов. Тогда выплаты за удаленное выполнение кода на критически важных сайтах были увеличены сразу втрое – до 15 000 долларов США.

Теперь же представители Mozilla сообщили, что в bug bounty вновь вносят приятные для исследователей изменения.

Так, отныне за обнаружение наиболее критических уязвимостей исследователи смогут получить до 10 000 долларов (если описание проблемы будет сопровождаться высококачественным отчетом). К таким уязвимостями относятся, к примеру, побег из песочницы или выполнение произвольного кода.

Другие серьезные проблемы, такие как нарушение целостности информации в памяти, обход same origin, приводящий к утечке пользовательских данных, и получение IP-адреса пользователя при настроенном прокси-сервере, теперь могут принести исследователям от 3000 до 5000 долларов.

Кроме того, Mozilla сообщает, что теперь багхантеры могут сообщать об один и тех же уязвимостях (независимо друг от друга), и никто не останется обиженным. Дело в том, что это весьма распространенная проблема среди исследователей: эксперты внимательно изучают сборки Firefox Nightly, и нередко несколько человек обнаруживают одни и те же уязвимости с разницей всего в нескольких часов. Теперь в Mozilla решили, что вознаграждение за такие ошибки будет делиться между всеми исследователями, которые сообщили о проблеме в течение 72 часов после подачи первого багрепорта.