Представители Mozilla сообщили о расширении программы вознаграждения за уязвимости, которая пополнилась новой категорией. Теперь исследователям будут платить не только за сами баги, но и за методики, позволяющие обойти защитные механизмы Firefox.
Инженеры Mozilla пишут, что ранее обход защитных механизмов, как правило, расценивался как проблема с низким или средним уровнем серьезности. Теперь же, в рамках новой программы Exploit mitigation bug bounty, за такие баги исследователи смогут получить вознаграждение в размере до 5000 долларов США.
До 5000 долларов можно заработать, обнаружив возможность обхода защиты с привилегированным доступом. Но если специалист обнаружит проблему, которая позволяет обойти защиту, не имея высоких привилегий (как правило, в таких случаях речь идет о целой цепочке уязвимостей), он сможет претендовать на награду за саму уязвимость и пятидесятипроцентный бонус за обход защиты.
Также Mozilla по-прежнему поощряет исследователей тестировать Firefox Nightly, но уязвимости, обнаруженные в этой сборке, будут вознаграждены лишь в том случае, если они не будут замечены самими разработчиками Mozilla в течение четырех дней после размещения в репозитории кода, в который закралась ошибка.