En nous appuyant sur notre histoire en tant qu’une des premières institutions à créer un programme de bug bounty, nous avons institué le SOS Fund pour aider à combler cette lacune. Notre approche consiste à travailler avec des cabinets d’audits externes pour mener une évaluation ponctuelle du projet et de fournir alors le soutien nécessaire au mainteneur du projet pour gérer la réparation. Enfin, nous travaillons avec la personne chargée de l’audit à vérifier les modifications qui ont été faites.

Sécuriser le Net est l’affaire de tous et profite à tous. Mozilla y engage une partie de ses ressources et encourage les autres acteurs à la rejoindre. Mozilla continue à soutenir les organisations et améliore ses processus en tirant les leçons apprises au fur et à mesure.

Pour en savoir plus sur le programme, lisez ce résumé en français de ce billet en anglais du blog officiel de Mozilla.

Chris Riley revient ensuite sur les réussites à mettre au crédit du projet. Des vulnérabilités de sécurité jugées critiques ou au moins très élevées ont été identifiées et corrigées. Elles étaient alors inconnues, tout comme celles découvertes au cours de l’audit de la bibliothèque de traitement du JPEG.

Notre audit a identifié deux problèmes avec le standard JPEG lui-même. En d’autres termes, toute bibliothèque de traitement d’images JPEG conforme au standard – qu’elle soit open source ou non, quelle que soit la source ou le contexte – est sujette aux mêmes vulnérabilités (jugées modérées). Précisément, certains types d’images légitimes déclenchent une surconsommation du processeur central (CPU) ou de la mémoire, menant potentiellement à des plantages du système.

Mozilla ne fait pas juste des logiciels sûrs et fiables, mais participe à la bonne santé de l’écosystème dans lequel elle évolue, pour le bénéfice de tous, utilisateurs de ses produits et services ou pas. C’est ça aussi Mozilla.


@Mozinet, relecture par la communauté

Notre précédent article : Mozilla : comment nous protégeons Internet avec votre aide

Crédit illustrations : Mozilla