Mozilla предложила новый способ заработка на уязвимостях

image

Теги: ASan Nightly, Firefox, уязвимость

В ASan-сборках Firefox реализована функция автоматической отправки уведомлений об ошибках.

В рамках проекта ASan Nightly разработчики компании Mozilla приступили к выпуску ежедневно обновляемых сборок Firefox, в состав которых входит инструмент AddressSanitizer для выявления проблем с памятью, в том числе вызванных уязвимостями использования после освобождения (use-after-free), различных вариантов переполнения буфера и иных проблем, позволяющих перехватить контроль над браузером и другим программным обеспечением.

Основная особенность сборок заключается в наличии функции автоматической отправки уведомлений об обнаруженных ошибках, причем на данные отчеты распространяется действие программы вознаграждения за найденные уязвимости. Другими словами, пользователи могут получить денежное вознаграждение, просто используя браузер обычным способом. В случае обнаружения вредоносных скриптов на какой-либо интернет-странице или возникновения нестандартной ситуации отправляется уведомление об ошибке, за которое пользователь может получить награду, если проблема будет признана уязвимостью. Размер выплаты составляет от $500 до $3000 тыс. в зависимости от степени опасности уязвимости.

Для участия в программе выплаты вознаграждения пользователь должен указать свой электронный адрес в поле asanreporter.clientid через интерфейс about:config (иначе Mozilla не будет знать, куда отправлять награду). В настоящее время ASan-сборки Firefox доступны только для пользователей Linux, инженеры Mozilla работают над сборками для macOS и Windows.

Как отмечается, производительность ASan практически не отличается от обычных сборок, однако потребляет больше памяти, поэтому для комфортной работы с ней потребуется не менее 16 ГБ ОЗУ и перезапуск браузера по меньшей мере два раза в день для освобождения памяти.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.