Mit Firefox ASan verdient man zwar kein Geld im Schlaf, möglicherweise aber beim Surfen.

Mozilla bietet eine spezielle Firefox-Version an, die dem Entwicklerteam auf der Suche nach Sicherheitslücken hilft – und den Nutzer dafür potenziell belohnt. Firefox ASan Nightly meldet beim Surfen verdächtige Speicherzugriffe, die auf Schwachstellen hindeuten, an Mozilla.

Wird durch die Auswertung tatsächlich eine handfeste Sicherheitslücke entdeckt, belohnt das Unternehmen den Nutzer im Rahmen seines Bug Bounty Program. Die Höhe des Finderlohns richtet sich nach der Schwere der entdeckten Lücke.

Die ASan Nightly enthält das Tool AddressSanitizer. Es überwacht alle Speicherzugriffe und spürt dabei Speicherfehler auf, die Angreifer zum Einschleusen von Code missbrauchen können – darunter Use-after-free-Fehler und Pufferüberläufe. Wird ASan fündig, schickt es einen Bericht an die Firefox-Entwickler. Will man im Fall der Fälle belohnt werden, muss man in der about:config unter asanreporter.clientid seine Mail-Adresse einstellen.

Windows-Version folgt

Laut Mozilla arbeitet die Spezialversion genauso zuverlässig wie die Nightly Builds von Firefox, zudem wird sie ebenso regelmäßig aktualisiert. Sie ist jedoch deutlich speicherhungriger: Wer an der Schwachstellenjagd teilenehmen möchte, sollte ein System mit mindestens 16 GByte RAM nutzen.

Firefox ASan Nightly gibt es derzeit nur für Linux, die Entwickler arbeiten jedoch bereits an einer Windows-Version.

