Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Mozilla ha recentemente aggiornato le proprie regole relativamente al progetto bug bounty per il browser Firefox. Vuole concentrarsi principalmente su vulnerabilità di sicurezza critiche e originali. Le modifiche al programma includono un nuovo sistema di ricompense e un approccio più rigoroso alla documentazione dei bug.
Gli sviluppatori di Firefox hanno rivisto le regole di uno dei più lunghi programmi di “bug bounty” attivo. Per due decenni, l’iniziativa è stata un punto di riferimento per tutto il settore, ma la natura delle minacce informatiche ha costretto il team ad aggiornare il proprio approccio, spostando l’attenzione su problematiche realmente critiche e su ricerche di alta qualità.
Mozilla ha deciso di mantenere il processo di segnalazione sostanzialmente invariato, in modo da non interrompere il normale flusso di lavoro del team. Le modifiche riguardano i requisiti per le segnalazioni stesse. Il team si sta concentrando sulla rilevanza pratica. Verranno attenzionate vulnerabilità con scenari riproducibili ad alta priorità. Per ricevere la ricompensa, è necessario inviare un semplice test che dimostri il problema. Le segnalazioni prive di prove convincenti saranno prese in considerazione per ultime.
Particolare attenzione è stata dedicata all’originalità.
Negli ultimi anni, è aumentato il numero di duplicazioni e di situazioni in cui partecipanti esterni hanno superato le prestazioni degli strumenti di analisi interni. Per ridurre tali casi, Mozilla ha introdotto un periodo aggiuntivo di sette giorni, durante il quale i sistemi automatizzati dell’azienda hanno la possibilità di essere i primi a identificare i difetti. Gli sviluppatori ritengono che questo dovrebbe incoraggiare la community a condurre ricerche più approfondite e originali, anziché limitarsi a ripetere risultati già esistenti.
Le modifiche hanno interessato anche l’approccio architetturale alla sicurezza.
Firefox utilizza già processi in sandbox per mitigare i rischi e ora i pagamenti massimi saranno disponibili solo per gli attacchi che colpiscono il processo principale con un livello di privilegio superiore. Nel 2026, il browser disporrà di un processo in sandbox separato per l’elaborazione grafica su tutti i sistemi operativi. Successivamente, le vulnerabilità dello stack grafico non saranno più considerate una violazione completa della sandbox, sebbene rimarranno una priorità elevata a causa del rischio di corruzione della memoria.
Anche il sistema di ricompense è stato rivisto. La “fuga dalla sandbox” ora si applica solo agli attacchi che consentono di ottenere il controllo di un processo con privilegi più elevati. La lettura della memoria o gli attacchi tra componenti isolati non rientrano in questa categoria, sebbene rimangano scoperte di notevole importanza. Le ricompense più elevate saranno corrisposte solo per l’elusione dei meccanismi di sicurezza più rigorosi.
Il team di Mozilla considera l’aggiornamento, un passo logico nello sviluppo del programma e spera che le nuove regole contribuiscano a concentrarsi sulle vulnerabilità realmente pericolose e ad accelerarne l’eliminazione.
