Felemelte a Mozilla a termékeit érintő, bejelentett sebezhetőségek után járó jutalom mértékét

Mozilla

2004 nyarán indította útnak a Mozilla Foundation azt a jutalmazási rendszert, amelynek keretében a vezető termékeit érintő sebezhetőségek bejelentőit pénzjutalomban részesíti. A kezdetektől - ha a bejelentett sebezhetőség megfelelt a Mozilla által támasztott követelményeknek - a bejelentő 500 dollár jutalmat kapott. Azóta eltelt hat év és a Mozilla úgy gondolta, hogy sokkal ösztönzőbb lesz a rendszer, ha a jutalmat felemeli 3000 amerikai dollárra. A felkínált jutalom a Mozilla Firefox, a Mozilla Thunderbird, a Mozilla Mobile termékekre és mindazon Mozilla szolgáltatásokra vonatkozik, amelyektől ezek a termékek valamilyen módon függenek. Jutalom reményében már kiadott, vagy még béta, RC állapotban levő termékekkel kapcsolatban is lehet hibát bejelenteni.

Milyen feltételeknek kell megfelelni a jutalomért?

  • A biztonsági hibának eredetinek és korábban más által be nem jelentettnek kell lennie.
  • A biztonsági hibának távolról kihasználhatónak kell lennie.
  • A biztonsági hibának a Firefox, Thunderbird, Firefox Mobile és az ezekkel összefüggő Mozilla szolgáltatások legfrissebb támogatott, béta vagy kiadásra jelölt verzióiban kell lennie.
    A 3rd party szoftverekben (pl. plugin-ek, kiterjesztések) levő biztonsági hibák nem játszanak a Bug Bounty programban.
  • A hibabejelentést megtevő nem lehet szerzője a bugos kódnak, illetve nem lehet semmilyen módon sem közreműködője a hozzájárulásnak.
  • A Mozilla és leányvállalatainak alkalmazottai nem játszanak ebben a programban.

Részletek a bejelentésben.

( turul16 v | 2010. 07. 18., v – 12:35 )

"Finally, in general we do not consider bugs that permit only denial of service attacks to be eligible in the sense described above."

Az vajon szamit -e, ha egy kevesse veszelysnek gondolt ismert bugrol bizonyitja az illeto, hogy nagyon veszelyes ?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

igen ez az egyik érdekesség, a másik pedig ez:
"(...) we do not consider bugs to be sg:high if they potentially expose only lower-value information (e.g., browsing history) or information that would be useful primarily for other exploits (e.g., the names of files or directories on the user's system)."

az, hogy egy olyan bugot ami valamilyen úton-módon exploitra használható fel, nem high-ra értékelik, az azért elgondolkodtat (mint usert is)

( atomheart v | 2010. 07. 18., v – 12:39 )

OFF
Felemelte a Mozilla a termékeit érintő, bejelentett sebezhetőségek után járó jutalom mértékét

Nekem egy kicsit eroltetettnek tunik, inkabb:

A mozilla novelte a termékeit érintő, bejelentett sebezhetőségek után járó jutalmat

vagy valami hasonlo...
/OFF

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"

( eax | 2010. 07. 18., v – 12:52 )

"3 000 amerikai dollárra"

:D

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( shiki | 2010. 07. 18., v – 13:12 )

Még mindig elmarad a Google által osztogatott pénzösszegek mellett... (De a két cég költségvetése is merőben más.)