10.000 milliarder fuzzing-test om dagen afslører 1.000 open source-fejl

Sådan fordelte de mere end 1.000 fejl sig, som Google fandt i open source-projekter gennem massiv fuzzing. Illustration:
Googles projekt med at finde fejl og potentielle sikkerhedshuller i open source-software ved hjælp af fuzzing på en stor klyngecomputer har indtil videre fundet mere end 1.000 fejl.

Google har i løbet af fem måneder fundet mere end 1.000 fejl i open source-software, hvor af 264 var potentielle sikkerhedshuller. Men det mest interessante er, at Google har brugt metoden fuzzing på meget stor skala.

Fuzzing går ud på at teste et stykke software for fejl ved at udsætte det for tilfældige input og på den måde forsøge at udløse fejl, som ellers kan være svære at opdage, hvis man blot går koden igennem. Det gælder eksempelvis forskellige overløbsfejl (overflows).

Google lancerede i december projektet OSS-Fuzz, som skulle fungere som en betatest af Googles ambition om at afprøve fuzzing på meget stor skala. Softwaren, som blev analyseret, kom fra en række udbredte open source-projekter som eksempelvis FFmpeg og LibreOffice.

Fuzzing har været anvendt længe, men Google havde til udviklingen af Chrome-browseren skabt ClusterFuzz, som kunne foretage fuzzing med milliarder af test om dagen. Til OSS-Fuzz er Google nået op på 10.000 milliarder test om dagen.

Det gør det muligt at skyde med så mange spredehagl på kort tid, at det altså også har givet pote i form af en stribe rettelser i de open source-projekter, som har været gennem maskinen. Eksempelvis blev der fundet og rettet 33 sikkerhedshuller i LibreOffice takket være projektet, rapporterer Google.

Fuzzing-metoden har først og fremmest fundet hukommelsesrelaterede fejl, som ud over overløbsfejl også omfatter leaks, out-of-memory og timeouts.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere