Mozilla recompensará con 10,000 dólares quienes encuentren errores en la versión firefox 31

Por -

Mozilla ha anunciado una recompensa de 10.000 dólares para aquel o aquellos que encuentren errores en la versión Nightly de Firefox 31 y cuya versión final está prevista que sea lanzada el próximo 31 de julio. Las condiciones que debe presentar el error son muy concretas, pero en el caso de encontrar cualquier error, que cumpla alguno de los requisitos, Mozilla pagará hasta 3.000 dólares como recompensa. Al mismo tiempo, han anunciado en su blog oficial una nueva librería de verificación de certificados para su motor Gecko, utilizado en varias aplicaciones como los navegadores Firefox o Thunderbird, y que soporta varios estándares de Internet  como son HTML o JavaScript.

Errores que hacen que el navegador acepte certificados no válidos

La organización sin ánimo de lucro está interesada, principalmente, en el descubrimiento de errores que permiten la construcción de cadenas de certificados que son aceptadas como válidas cuando deberían ser rechazadas, o cualquier problema existente en el código que provoque errores de corrupción de la memoria. En resumen, si Firefox es incapaz de verificar otro tipo de certificados válidos Mozilla no considera que esto sea un error de seguridad, pero si el error hace que el navegador acepte certificados que firmen respuestas OCSP falsificadas, si lo considera como un problema de seguridad. Por tanto, los investigadores de seguridad deben encontrar errores que cumplan este requisito inicial, además de otros adicionales, para poder optar a la recompensa de10.000 dólares.

Requisitos adicionales

  • El error debe estar en, o ser causado por, el código en security/pkix o en security/certverifier.
  • El exploit debe ser activado a través de una navegación web normal.
  • El asunto debe ser divulgado con suficientes detalles, incluyendo pruebas, certificados o cualquier prueba de funcionamiento que Mozilla pueda utilizar para reproducir el problema.
  • El informe puede ser presentado hasta el 30 de junio de 2014.

En caso de encontrar algún error que no cumple con todos los requisitos, Mozilla ofrece hasta 3.000 dólares de recompensa. Puedes enviar la información a security@mozilla.org.

Scott Robinson

Emprendedor, blogger y DJ. La mitad de un pan es mejor que nada de pan. Co-Founder & CEO of Quickeel @Techpepperorg Twitter : @ScottRobinsonHM

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *