Mozilla e Rust Core vão criar a Rust Foundation

Mozilla e Rust Core vão criar a Rust Foundation

A equipe Rust Core e a Mozilla anunciaram que vão criar a Rust Foundation. Será uma organização independente sem fins lucrativos. A criação deve ocorrer até o final do ano. Assim, a propriedade intelectual associada ao projeto Rust será transferida. Isso inclui marcas registradas e nomes de domínio associado a Rust, Cargo e crates.io.

A organização também será responsável por organizar o financiamento do projeto. Rust e Cargo são marcas registradas de propriedade da Mozilla. Assim, até lá, estão sujeitas a restrições de uso bastante rígidas. Assim, criam-se algumas dificuldades com a distribuição de pacotes em distribuições. Em particular, os termos de uso da marca registrada da Mozilla proíbem a retenção do nome do projeto em caso de alterações ou patches.

As distribuições podem redistribuir um pacote com o nome Rust and Cargo apenas se ele for compilado a partir das fontes originais. Caso contrário, é necessária a permissão prévia por escrito da equipe Rust Core ou uma mudança de nome.

Assim, tem atrapalhado na rápida remoção independente de bugs e vulnerabilidades em pacotes com Rust e Cargo.

Mozilla e Rust Core vão criar a Rust Foundation

Mozilla e Rust Core vão criar a Rust Foundation

 

A linguagem Rust é originalmente um projeto da divisão Mozilla Research. Entretanto, em 2015 transformou-se em um projeto autônomo. Assim, tem o gerenciamento independente da Mozilla.

A evolução da linguagem Rust ocorreu de forma independente. No entanto, desde então, a Mozilla forneceu suporte financeiro e legal. Essas atividades agora se transferirão para uma nova organização criada especificamente para a curadoria de Rust.

Esta organização pode ser vista como um site neutro em relação à Mozilla. Portanto, deve tornar mais fácil atrair novos negócios para apoiar o Rust e aumentar a viabilidade do projeto.

Novo programa de recompensas

Outro anúncio feito pela Mozilla é que está expandindo sua iniciativa de pagar recompensas em dinheiro pela identificação de problemas de segurança no Firefox.

Além das vulnerabilidades em si, o programa Bug Bounty agora também cobrirá métodos para contornar os mecanismos disponíveis no navegador que impedem o funcionamento de exploits.

Tais mecanismos incluem um sistema para limpar fragmentos de HTML:

  • compartilhando memória para DOM e Strings/ArrayBuffers;
  • rejeitando eval () no contexto do sistema e no processo principal;
  • aplicando restrições CSP estritas (Política segurança) às páginas de serviço “about: config”, que proíbe o carregamento de páginas diferentes de “chrome://”, “resource://” e “about:” no processo principal;
  • proíbe o execução de código JavaScript externo no processo principal, ignorando mecanismos de compartilhamento privilegiado (usados para criar a interface do navegador) e código JavaScript não privilegiado.

Eles fornecem uma verificação esquecida para eval () em threads do Web Worker. É um exemplo de um erro que se qualifica para o pagamento de uma nova recompensa.

E tem mais

Se uma vulnerabilidade for identificada e os mecanismos de proteção de exploração forem contornados, o investigador pode receber um adicional de 50% da recompensa básica concedida para a vulnerabilidade identificada. Assim, para uma vulnerabilidade UXSS que contorna o mecanismo HTML Sanitizer, será possível receber $ 7.000 mais um prêmio de $ 3.500.

Em particular, a expansão do programa de recompensas para pesquisadores independentes surge no contexto da recente demissão de 250 funcionários da Mozilla, que incluiu toda a Equipe de Gerenciamento de Ameaças responsável pela detecção e análise de incidentes, bem como parte da equipe de segurança. .

Além disso, há uma mudança de regra para aplicar o programa de recompensas a vulnerabilidades identificadas em compilações nightly.

No entanto, os desenvolvedores nunca deixam essas falhas por muito tempo. Essa descoberta ocorre durante o processo de verificações internas automatizadas e testes de difusão.

Esses relatórios de bug não melhoram a segurança do Firefox ou os mecanismos de teste de fuzzing. Então, só serão recompensados por vulnerabilidades se o problema estiver presente no repositório principal por mais de 4 dias e não tiver sido identificado por revisões internas e funcionários da Mozilla.