Mozilla 加大火狐浏览器漏洞奖励力度

自2004年开始，Mozilla 就推出漏洞奖励计划，而在2017年和2019年间，它共为350个漏洞支付了近100万美元的奖励金。虽然在这个时间段内，它支付的平均奖励金为2700美元，但颁发的最常见的奖励金是4000美元。

Mozilla 调整了漏洞奖励计划，表示研究人员能够同时提供高质量的漏洞报告，则可获得最高奖励金1万美元。这些漏洞类型包括沙箱逃逸、代码执行缺陷以及绕过 WebExtension 安装提示的技术。

影响力大的漏洞包括内存损坏、可导致用户数据泄露的同源绕过、以及配置代理后获取用户 IP地址如今可为研究人员赢得3000到5000美元不等的奖励金。

Mozilla 公司员工 Tom Ritter 在博客文章中指出，“我们想再次重申这一点：奖励金并非取决于是否为第一个漏洞报告提交人，而是取决于和开发人员的讨论结果。因此报告提交后帮助改进测试案例、判断工程师的推断是否成立或者提供能够找到解决该问题的其它协助将有助于提高所获漏洞奖励金。”

Mozilla 还指出，现在接受不同研究员提交关于同一漏洞报告的情况，它常见于研究人员对火狐夜视 builds 进行模糊测试并在相差几小时的时间内找到同一漏洞的情形。Mozilla 表示，在第一份报告提交后的72小时内提交同一漏洞的所有报告人将平分该漏洞的奖励金。

去年11月份，Mozilla 宣布称如研究员发现的漏洞影响其关键及核心的网站和服务，则最高可获得1.5万美元的奖励金。

https://www.securityweek.com/mozilla-offers-bigger-rewards-firefox-vulnerabilities

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

    点个 “在看” ，加油鸭~