[ad_1]
Jeudi, Mozilla a annoncé quelques changements à son programme de prime aux bogues de Firefox, y compris des récompenses plus importantes et sa décision d’accepter des rapports en double dans certains cas.
L’organisation gère un programme de primes aux bogues depuis 2004 et, entre 2017 et 2019, elle a versé près d’un million de dollars pour environ 350 vulnérabilités. Le paiement moyen au cours de cette période était d’environ 2 700 $, mais le montant le plus souvent accordé était de 4 000 $.
Mozilla a maintenant décidé que les bogues les plus graves pouvaient rapporter jusqu’à 10 000 $ à un chercheur s’ils étaient accompagnés d’un rapport de haute qualité. Ces types de vulnérabilités incluent des échappements de sandbox, des failles d’exécution de code et des techniques pour contourner les invites d’installation de WebExtension.
Des problèmes à fort impact tels que la corruption de mémoire, le même contournement d’origine qui entraîne une fuite de données utilisateur et l’obtention de l’IP d’un utilisateur si un proxy est configuré peuvent désormais rapporter aux chercheurs entre 3000 et 5000 $.
« Encore une fois, nous tenons à souligner – si ce n’est pas déjà fait – qu’un montant de prime n’est pas déterminé en fonction de votre soumission initiale, mais plutôt sur le résultat de la discussion avec les développeurs. Donc, améliorer les cas de test après la soumission, déterminer si la spéculation d’un ingénieur est fondée ou non, ou toute autre aide qui aide à résoudre le problème augmentera votre paiement de prime », a déclaré Tom Ritter de Mozilla dans un article de blog.
Mozilla a également informé les chasseurs de primes de bogues qu’il autorise désormais les soumissions en double, ce qui peut être courant dans le cas des chercheurs qui fuzzent les versions de Firefox Nightly et trouvent la même vulnérabilité à quelques heures d’intervalle. Mozilla a décidé que la prime de bogue pour une faille serait répartie entre tous les chercheurs qui ont signalé le même problème dans les 72 heures suivant le premier rapport.
En novembre dernier, Mozilla a annoncé que la récompense la plus élevée pour les failles de sécurité affectant ses sites Web et services essentiels et essentiels était passée à 15 000 $.
Connexes: Mozilla aux chercheurs: éloignez-vous des données utilisateur et nous ne poursuivrons pas
Connexes: Mozilla corrige deux vulnérabilités de Firefox exploitées dans les attaques
Connexes: Firefox, IE Vulnérabilités exploitées dans les attaques contre la Chine, le Japon
Eduard Kovacs (@EduardKovacs) est un éditeur collaborateur de SecurityWeek. Il a travaillé en tant que professeur d’informatique au lycée pendant deux ans avant de commencer une carrière dans le journalisme en tant que journaliste de nouvelles de sécurité de Softpedia. Eduard détient un baccalauréat en informatique industrielle et une maîtrise en techniques informatiques appliquées en génie électrique.
Mots clés: