10.000 milliarder fuzzing-test om dagen afslører 1.000 open source-fejl

Google Fuzzing fejl errors bugs
Sådan fordelte de mere end 1.000 fejl sig, som Google fandt i open source-projekter gennem massiv fuzzing.
Googles projekt med at finde fejl og potentielle sikkerhedshuller i open source-software ved hjælp af fuzzing på en stor klyngecomputer har indtil videre fundet mere end 1.000 fejl.

Google har i løbet af fem måneder fundet mere end 1.000 fejl i open source-software, hvor af 264 var potentielle sikkerhedshuller. Men det mest interessante er, at Google har brugt metoden fuzzing på meget stor skala.

Fuzzing går ud på at teste et stykke software for fejl ved at udsætte det for tilfældige input og på den måde forsøge at udløse fejl, som ellers kan være svære at opdage, hvis man blot går koden igennem. Det gælder eksempelvis forskellige overløbsfejl (overflows).

Google lancerede i december projektet OSS-Fuzz, som skulle fungere som en betatest af Googles ambition om at afprøve fuzzing på meget stor skala. Softwaren, som blev analyseret, kom fra en række udbredte open source-projekter som eksempelvis FFmpeg og LibreOffice.

Fuzzing har været anvendt længe, men Google havde til udviklingen af Chrome-browseren skabt ClusterFuzz, som kunne foretage fuzzing med milliarder af test om dagen. Til OSS-Fuzz er Google nået op på 10.000 milliarder test om dagen.

Det gør det muligt at skyde med så mange spredehagl på kort tid, at det altså også har givet pote i form af en stribe rettelser i de open source-projekter, som har været gennem maskinen. Eksempelvis blev der fundet og rettet 33 sikkerhedshuller i LibreOffice takket være projektet, rapporterer Google.

Fuzzing-metoden har først og fremmest fundet hukommelsesrelaterede fejl, som ud over overløbsfejl også omfatter leaks, out-of-memory og timeouts.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (0)

Kommentarer (0)
Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017