A equipe Rust Core e a Mozilla anunciaram que vão criar a Rust Foundation. Será uma organização independente sem fins lucrativos. A criação deve ocorrer até o final do ano. Assim, a propriedade intelectual associada ao projeto Rust será transferida. Isso inclui marcas registradas e nomes de domínio associado a Rust, Cargo e crates.io.
A organização também será responsável por organizar o financiamento do projeto. Rust e Cargo são marcas registradas de propriedade da Mozilla. Assim, até lá, estão sujeitas a restrições de uso bastante rígidas. Assim, criam-se algumas dificuldades com a distribuição de pacotes em distribuições. Em particular, os termos de uso da marca registrada da Mozilla proíbem a retenção do nome do projeto em caso de alterações ou patches.
As distribuições podem redistribuir um pacote com o nome Rust and Cargo apenas se ele for compilado a partir das fontes originais. Caso contrário, é necessária a permissão prévia por escrito da equipe Rust Core ou uma mudança de nome.
Assim, tem atrapalhado na rápida remoção independente de bugs e vulnerabilidades em pacotes com Rust e Cargo.
Mozilla e Rust Core vão criar a Rust Foundation
A linguagem Rust é originalmente um projeto da divisão Mozilla Research. Entretanto, em 2015 transformou-se em um projeto autônomo. Assim, tem o gerenciamento independente da Mozilla.
A evolução da linguagem Rust ocorreu de forma independente. No entanto, desde então, a Mozilla forneceu suporte financeiro e legal. Essas atividades agora se transferirão para uma nova organização criada especificamente para a curadoria de Rust.
Esta organização pode ser vista como um site neutro em relação à Mozilla. Portanto, deve tornar mais fácil atrair novos negócios para apoiar o Rust e aumentar a viabilidade do projeto.
Novo programa de recompensas
Outro anúncio feito pela Mozilla é que está expandindo sua iniciativa de pagar recompensas em dinheiro pela identificação de problemas de segurança no Firefox.
Notícias Relacionadas
Audiolivros Spotify
Spotify expande catálogo de audiolivros com parceria estratégica
Spotify firmou parceria com a Bloomsbury Publishing para expandir seu catálogo de audiolivros. A nova coleção inclui 1.000 títulos de autores aclamados e narradores de destaque, fortalecendo o papel dos audiolivros na plataforma.
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Além das vulnerabilidades em si, o programa Bug Bounty agora também cobrirá métodos para contornar os mecanismos disponíveis no navegador que impedem o funcionamento de exploits.
Tais mecanismos incluem um sistema para limpar fragmentos de HTML:
- compartilhando memória para DOM e Strings/ArrayBuffers;
- rejeitando eval () no contexto do sistema e no processo principal;
- aplicando restrições CSP estritas (Política segurança) às páginas de serviço “about: config”, que proíbe o carregamento de páginas diferentes de “chrome://”, “resource://” e “about:” no processo principal;
- proíbe o execução de código JavaScript externo no processo principal, ignorando mecanismos de compartilhamento privilegiado (usados para criar a interface do navegador) e código JavaScript não privilegiado.
Eles fornecem uma verificação esquecida para eval () em threads do Web Worker. É um exemplo de um erro que se qualifica para o pagamento de uma nova recompensa.
E tem mais
Se uma vulnerabilidade for identificada e os mecanismos de proteção de exploração forem contornados, o investigador pode receber um adicional de 50% da recompensa básica concedida para a vulnerabilidade identificada. Assim, para uma vulnerabilidade UXSS que contorna o mecanismo HTML Sanitizer, será possível receber $ 7.000 mais um prêmio de $ 3.500.
Em particular, a expansão do programa de recompensas para pesquisadores independentes surge no contexto da recente demissão de 250 funcionários da Mozilla, que incluiu toda a Equipe de Gerenciamento de Ameaças responsável pela detecção e análise de incidentes, bem como parte da equipe de segurança. .
Além disso, há uma mudança de regra para aplicar o programa de recompensas a vulnerabilidades identificadas em compilações nightly.
No entanto, os desenvolvedores nunca deixam essas falhas por muito tempo. Essa descoberta ocorre durante o processo de verificações internas automatizadas e testes de difusão.
Esses relatórios de bug não melhoram a segurança do Firefox ou os mecanismos de teste de fuzzing. Então, só serão recompensados por vulnerabilidades se o problema estiver presente no repositório principal por mais de 4 dias e não tiver sido identificado por revisões internas e funcionários da Mozilla.
