Szerző: Hlács Ferenc

2018. július 20. 11:42

Automata bugvadásszal keresne pénzt felhasználóinak a Mozilla

A Firefox önjáró bugvadász modullal szerelt nightlyt kap, a talált hibákért fejpénz is jár.

Következő fokozatba kapcsolja a bugvadászatot a Mozilla: a Firefox böngésző egy speciális kiadásával már automatizáltan is lehetőség van sérülékenységek után kutatni, a felhasználónak ehhez elég a szoftvert használni mindennapi böngészéséhez - az így lefülelt hibákért pedig a Mozilla jó szokása szerint pénzjutalmat is oszt.

Az ASan Nightly Project néven futó kezdeményezésben a szervezet ASan (AddressSanitizer) eszközét gyúrta bele a böngésző nightly kiadásába. Az eszközt, amelyet a Mozilla házon belül már több mint 5 éve használja integrációs és fuzz tesztelésre. A kombinált nigthly kiadással a szervezet két legyet üthet egy csapásra, hiszen az alkalmazással egyszerre végezhető csőben lévő nightly verzió tesztelése és annak biztonsági ellenőrzése is. A böngészőben egy speciális ASan reporter kiegészítő található, amely a hibákat észlelés után rögtön jelzi a Mozilla felé. A bugvadász böngésző egyelőre csak Linuxon érhető el, de a szervezet blogposztja szerint már dolgozik a windowsos és macOS-re szánt kiadásokon is.

ffx

A speciális böngészővel elsősorban a memóriakorrupciós hibák csíphetők el, a Mozilla különösen a use-after-free sérülékenységeket emeli ki, amelyeknél a szoftver egy adott memóriaterületet annak felszabadítása után, annak eredeti pointerével használ fel újra, ezzel pedig távoli kódfuttatásra is lehetőséget adhat. A hasonló hibák kiszűréséhez azonban az ASan Nightlynak le kell foglalnia bizonyos felszabadított memóriaterületeket, ami alaposan megdobja a bugvadász böngésző memóriaétvágyát. A Mozilla ennek megfelelően csak legalább 16 gigabájt RAM-mal rendelkező konfigurációkon ajánlja a használatát, továbbá azt javasolja, napjában egyszer vagy kétszer a felhasználók indítsák újra a böngészőt.

Ettől eltekintve azonban a szoftver a mezei Firefoxhoz hasonlóan használható, miközben pedig a felhasználó az interneten szörföl, az ASan Nightly a felmerülő biztonsági hibák után kutat. Ha pedig talál is biztonsági rést, azt a Mozilla nem hagyja jutalom nélkül, Bug Bounty programját ugyanis az automatizált jelentésekre is kiterjeszti, ezeket ugyanúgy kezeli, mint ha a felhasználó a szokott módon, a Bugzillán keresztül jelentette volna a hibát, igaz szemléltető teszt nélkül. Ennek megfelelően ha az adott bug beleesik valamelyik jutalmi kategóriába, illetve olyan hibáról van szó, amelyet a Mozilla fejlesztőinek módjukban áll kijavítani, a felhasználó pénzjutalomra számíthat. Persze hogy a szervezet tudja, kinek is kell kicsengetni a fejpénzt, a böngésző URL sávjában az about:config címre navigálva az asanreporter.clientid-t érdemes saját email címünkre állítani.

A Mozilla Bug Bounty programjában egyébként a közepes sérülékenységek 500-2500 dollárt hozhatnak a konyhára, a kiemelten veszélyesnek ítélt, különleges sebezhetőségekért viszont akár több mint 10 ezer dollár is ütheti a felfedező markát. Az automatizált keresés persze jó eséllyel inkább az "olcsóbb" bugokra találhat rá, kis szerencsével azonban ez is elég lehet hogy visszahozza a plusz RAM árát.

a címlapról