Mozilla 扩展漏洞奖励计划，涵盖利用缓解技术绕过

新推出的利用缓解奖励计划甚至涵盖依赖特权访问权限的利用缓解中出现的漏洞，而此前这些bug 不在奖赏范围内。另外，如能找到不依赖特权访问权限的利用缓解bug，则研究员可获得额外50%的奖金。

Mozilla 发布博客文章指出，“此前，在测试场景中绕过缓解如直接测试 HTML Sanitizer 将被归类为低危或中危漏洞，而现在也可获得等同于高危级别漏洞的奖励。另外，如果该漏洞无需特权访问权限即可触发，则可同时获得常规安全漏洞奖励金和缓解绕过奖励金，从而获得额外奖金。”

另外，继多名外部安全研究员在 Firefox 的 Nightly 预发版本中发现了多个 bug，Mozilla 在四天宽限期后颁发奖励金后做出了重大改变，“我们仍然希望鼓励Nightly 漏洞挖掘，即使其它漏洞奖励计划不包括这一类型。但向我们自己发现的显然是短暂的问题发放奖励，并未改进 Firefox 的安全性或者鼓励创新的 fuzzer 改进。”

当前做出的改变是继 Mozilla 在今年4月提供更高奖励金并摆脱此前的“第一个报告提交者获赏”的策略，而提倡奖励金共享策略。

本月早些时候，Mozilla 宣布重组计划，导致250个岗位消失，并将原因归咎于“全球疫情引发的经济形势已严重损害我们的收益”。

https://portswigger.net/daily-swig/mozilla-extends-bug-bounty-program-to-cover-exploit-mitigation-bypass-payouts

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

    觉得不错，就点个 “在看” 吧~