谷歌Fuzz Bot在開源項目中嗅探出超過千余Bug

責任編輯:editor004

2017-05-10 11:55:12

摘自:cnBeta.COM

自 Google 宣布了 OSS-Fuzz 之后的五個月里,這款工具在開源項目中嗅探出了超過 1000 多個 bug,其中包括 264 個潛在的安全漏洞。OSS-Fuzz 還與另一個獨立安全研究工具碰上了同一個 bug,它就是 CVE-2017-2801 。

自 Google 宣布了 OSS-Fuzz 之后的五個月里,這款工具在開源項目中嗅探出了超過 1000 多個 bug,其中包括 264 個潛在的安全漏洞。谷歌團隊非常努力,每天都要處理 10 萬億的測試輸入。有 47 個項目早已整合了 Fuzz,找到的千余個 bug 中它們功不可沒。Google 表示:“OSS-Fuzz 已經(jīng)在幾個關(guān)鍵開源項目中找到了多個安全漏洞”。

chart.jpg

除了查找內(nèi)存安全相關(guān)的 bug,F(xiàn)uzzing 還可以查找邏輯方面的錯誤。

其中:

FreeType 2(10 個)、FFmpeg(17 個)、LibreOffice(33 個)、SQLite 3(8 個)、GnuTLS(10 個)、PCRE2(25 個)、gRPC(9 個)、Wireshark(7 個)。

此外,OSS-Fuzz 還與另一個獨立安全研究工具碰上了同一個 bug,它就是 CVE-2017-2801 。

據(jù)該公司所述,當某個項目集成了 OSS-Fuzz 之后,后續(xù)它就會自動而自然地抓取問題,并且?guī)讉€小時后回溯至上游資源庫,從而將用戶受影響的可能性盡可能降低。

Google 還稱,OSS-Fuzz 已經(jīng)報告了超過 300 次超時和內(nèi)存不足失敗,其中有 3/4 已被修復。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號