A equipe Rust Core e a Mozilla anunciaram que vão criar a Rust Foundation. Será uma organização independente sem fins lucrativos. A criação deve ocorrer até o final do ano. Assim, a propriedade intelectual associada ao projeto Rust será transferida. Isso inclui marcas registradas e nomes de domínio associado a Rust, Cargo e crates.io.
A organização também será responsável por organizar o financiamento do projeto. Rust e Cargo são marcas registradas de propriedade da Mozilla. Assim, até lá, estão sujeitas a restrições de uso bastante rígidas. Assim, criam-se algumas dificuldades com a distribuição de pacotes em distribuições. Em particular, os termos de uso da marca registrada da Mozilla proíbem a retenção do nome do projeto em caso de alterações ou patches.
As distribuições podem redistribuir um pacote com o nome Rust and Cargo apenas se ele for compilado a partir das fontes originais. Caso contrário, é necessária a permissão prévia por escrito da equipe Rust Core ou uma mudança de nome.
Assim, tem atrapalhado na rápida remoção independente de bugs e vulnerabilidades em pacotes com Rust e Cargo.
Mozilla e Rust Core vão criar a Rust Foundation
A linguagem Rust é originalmente um projeto da divisão Mozilla Research. Entretanto, em 2015 transformou-se em um projeto autônomo. Assim, tem o gerenciamento independente da Mozilla.
A evolução da linguagem Rust ocorreu de forma independente. No entanto, desde então, a Mozilla forneceu suporte financeiro e legal. Essas atividades agora se transferirão para uma nova organização criada especificamente para a curadoria de Rust.
Esta organização pode ser vista como um site neutro em relação à Mozilla. Portanto, deve tornar mais fácil atrair novos negócios para apoiar o Rust e aumentar a viabilidade do projeto.
Novo programa de recompensas
Outro anúncio feito pela Mozilla é que está expandindo sua iniciativa de pagar recompensas em dinheiro pela identificação de problemas de segurança no Firefox.
Além das vulnerabilidades em si, o programa Bug Bounty agora também cobrirá métodos para contornar os mecanismos disponíveis no navegador que impedem o funcionamento de exploits.
Tais mecanismos incluem um sistema para limpar fragmentos de HTML:
- compartilhando memória para DOM e Strings/ArrayBuffers;
- rejeitando eval () no contexto do sistema e no processo principal;
- aplicando restrições CSP estritas (Política segurança) às páginas de serviço “about: config”, que proíbe o carregamento de páginas diferentes de “chrome://”, “resource://” e “about:” no processo principal;
- proíbe o execução de código JavaScript externo no processo principal, ignorando mecanismos de compartilhamento privilegiado (usados para criar a interface do navegador) e código JavaScript não privilegiado.
Eles fornecem uma verificação esquecida para eval () em threads do Web Worker. É um exemplo de um erro que se qualifica para o pagamento de uma nova recompensa.
E tem mais
Se uma vulnerabilidade for identificada e os mecanismos de proteção de exploração forem contornados, o investigador pode receber um adicional de 50% da recompensa básica concedida para a vulnerabilidade identificada. Assim, para uma vulnerabilidade UXSS que contorna o mecanismo HTML Sanitizer, será possível receber $ 7.000 mais um prêmio de $ 3.500.
Em particular, a expansão do programa de recompensas para pesquisadores independentes surge no contexto da recente demissão de 250 funcionários da Mozilla, que incluiu toda a Equipe de Gerenciamento de Ameaças responsável pela detecção e análise de incidentes, bem como parte da equipe de segurança. .
Além disso, há uma mudança de regra para aplicar o programa de recompensas a vulnerabilidades identificadas em compilações nightly.
No entanto, os desenvolvedores nunca deixam essas falhas por muito tempo. Essa descoberta ocorre durante o processo de verificações internas automatizadas e testes de difusão.
Esses relatórios de bug não melhoram a segurança do Firefox ou os mecanismos de teste de fuzzing. Então, só serão recompensados por vulnerabilidades se o problema estiver presente no repositório principal por mais de 4 dias e não tiver sido identificado por revisões internas e funcionários da Mozilla.
