Mozilla 擴大漏洞賞金計劃，提供繞過 Firefox 漏洞緩解措施的獎勵

　　Mozilla 宣布擴大其漏洞賞金計劃，增加了一個新的類別，主要是針對 Firefox 中的漏洞緩解、安全功能和防御深度措施的繞過方法。

在 Firefox 中，我們引入了重要的安全功能、漏洞緩解措施和深度防御措施。如果您能夠繞過這些措施之一，即使您是在瀏覽器內以特權訪問進行的操作，您也有資格獲得賞金。

　　Mozilla 表示，到目前為止，緩解繞過一直被歸類為中低嚴重性問題，但是作為新的 Exploit Mitigation Bug Bounty 的一部分，它們現在有資格獲得與高嚴重性缺陷相關的獎勵。

　　據介紹，如果研究人員提交高質量的報告，則其具有特權訪問權限的繞過緩解措施最多可為他們賺取 5,000 美元。但是，如果繞過緩解措施而沒有特權訪問（通常涉及鏈接多個弱點），則研究人員可以獲得針對漏洞本身的獎勵，以及繞過緩解措施的 50％ 的獎勵。

　　此外，Mozilla 也表示，它仍鼓勵研究人員測試 Firefox Nightly，但在 Nightly 中發現的漏洞只有在引入該漏洞的代碼更改被發布到主倉庫的四天內沒有被 Mozilla 內部發現時，研究人員才有資格獲得賞金。

　　前些日子，Mozilla 剛宣布了裁員 25%。因此，其擴大漏洞賞金計劃的消息一經發布后，也受到了外界一些人批評。對此，該公司則回應稱，最近的裁員不會影響負責 Firefox 瀏覽器和 Firefox 服務安全的團隊。

　　目前 Mozilla 已經發布了一份 Exploit Mitigation Bug Bounty 所涵蓋的緩解措施列表，具體可查看：https://www.mozilla.org/en-US/security/client-bug-bounty/