Mozilla Ofrece 10.000 Dólares Por Bug En Su Nuevo Certificado De Seguridad
Tiempo estimado de lectura 3 minutos

Mozilla ha anunciado hoy una nueva librería de verificación de certificados en Gecko, el motor del navegador web utilizado en varias de las aplicaciones de la empresa. Al mismo tiempo, la compañía ha ofrecido una recompensa de $10,000 Dólares, limitando el ofrecimiento, a un bug de seguridad específicamente para la verificación de certificados en su próximo Firefox 31, el cual tienen previsto su lanzamiento el 31 de julio del 2014.

Así es como Mozilla describe la actualización de la biblioteca:

El nuevo código es más robusto debido a la ruta de certificados intenta todas las cadenas de confianza posibles de un certificado antes de darse por vencido ( reconociendo el hecho de que el espacio del certificado es un gráfico cíclico dirigido y no un bosque). La nueva implementación es también más fácil de mantener, con sólo 4.167 líneas de código C + + en comparación con las 81.865 líneas de código anteriores que habían sido traducidos, automáticamente de Java a C. Los nuevos beneficios de la biblioteca , tales como herramientas de limpieza de la memoria (por ejemplo, RAII ) .

Para aquellas personas que se animen, solo tienen que cumplir con ciertos requisitos para ganarse estos $10.000 Dolares. Lo requisitos que ha dispuesto Mozilla son los siguientes:

  • El error debe estar en, o causado por, el código en security/pkix ó security/certverifier que se usa en Firefox .
  • La vulnerabilidad debe ser hallada a través de la navegación web normal (por ejemplo, ” visitando el sitio HTTPS del atacante”) .
  • El problema debe ser informado con suficiente detalle, incluyendo casos de prueba , certificados, o incluso una prueba de funcionamiento conceptual, que Mozilla pueda reproducir el problema .
  • El informe tiene que ser presentado antes de las 23:59 del 30 de junio 2014 (hora del Pacífico) .

Si te has animado en encontrar un bug en este navegador web, pero desafortunadamente el error de seguridad no cumple con todos los parámetros anteriores, todavía puedes enviarlo a bugzilla.mozilla.org y enviar el ID del error a security@mozilla.org. Mozilla pagará hasta $3,000 Dólares como recompensa de un error de seguridad estándar.

Deja un comentario