Tétet emelt a Mozilla

​A Mozilla megemelte a Firefox webböngészőhöz kapcsolódó hibavadász programjában odaítélhető jutalmak összegét.
 

A Mozilla 2004-ben - mondhatni az első között - indította el azt a kezdeményezését, amelynek keretében jutalmazni kezdte az etikus hackereket és a biztonsági kutatókat a Firefoxban feltárt sérülékenységekért. 2017 és 2019 között összesen majdnem egymillió dollárt fizetett ki külső szakemberek számára, akik megközelítőleg 350 sebezhetőséget jeleztek. Vagyis a program sikeresnek mondható, de a Mozilla úgy érezte, hogy több motivációra van szükség ahhoz, hogy a biztonsági rendellenességeket még nagyobb számban lehessen minél gyorsabban kimutatni. Ezért megemelte a jutalmak összegét.
 
Az új díjazási rendszerben a legmagasabb összeg 10 ezer dollár, igaz ez valóban kritikus sérülékenységeket feltáró, jó minőségű hibajelentésekért jár. Egyebek mellett olyan sebezhetőségekért, amelyek sandbox megkerülésre, jogosulatlan távoli kódfuttatásra és egyéb védelmi mechanizmusok hatástalanítására alkalmasak. Létezik egy 3-5 ezer dolláros kategória is, amibe a valamivel kevesebb kockázatot hordozó biztonsági rések tartoznak. Az ilyen típusú hibák kihasználásával a támadók adatokat lophatnak, domainek közötti manipulációkat végezhetnek, IP-címet szerezhetnek meg proxy használatakor stb.
 
További érdekesség, hogy a Mozilla ezentúl engedélyezi a duplikált hibabejelentéseket. Mindez azt jelenti, hogy ha két kutató egymástól függetlenül 72 órán belül ugyanazon sérülékenységet jelenti, akkor mindketten megkapják a jutalmat. Azt egyelőre nem lehet tudni, hogy a Mozilla miként fogja ellenőrizni a hibabejelentések független mivoltát, és mivel akadályozza meg az esetleges visszaéléseket, de ha beválik a terv, akkor az a kutatók szempontjából mindenképpen pozitív lesz.