谷歌Fuzz Bot在开源项目中嗅探出超过千余Bug

2017年05月10日 11:25 次阅读 稿源:cnBeta.COM 条评论

自 Google 宣布了 OSS-Fuzz 之后的五个月里,这款工具在开源项目中嗅探出了超过 1000 多个 bug,其中包括 264 个潜在的安全漏洞。谷歌团队非常努力,每天都要处理 10 万亿的测试输入。有 47 个项目早已整合了 Fuzz,找到的千余个 bug 中它们功不可没。Google 表示:“OSS-Fuzz 已经在几个关键开源项目中找到了多个安全漏洞”。

chart.jpg

除了查找内存安全相关的 bug,Fuzzing 还可以查找逻辑方面的错误。

其中:

FreeType 2(10 个)、FFmpeg(17 个)、LibreOffice(33 个)、SQLite 3(8 个)、GnuTLS(10 个)、PCRE2(25 个)、gRPC(9 个)、Wireshark(7 个)。

此外,OSS-Fuzz 还与另一个独立安全研究工具碰上了同一个 bug,它就是 CVE-2017-2801 。

据该公司所述,当某个项目集成了 OSS-Fuzz 之后,后续它就会自动而自然地抓取问题,并且几个小时后回溯至上游资源库,从而将用户受影响的可能性尽可能降低。

Google 还称,OSS-Fuzz 已经报告了超过 300 次超时和内存不足失败,其中有 3/4 已被修复。

[编译自:Soft Pedia , 来源:Google Security Blog]

相关文章:

谷歌“安全浏览”功能新增“Repeat Offenders”分类

Google推出Trusted Contacts,让Android用户拥有个人安全APP

Google 推出 Project Wycheproof 快速安全检查项目

活动入口:

走进Verisign - 互联网根服务器的管理者/.com的守护者

对文章打分

谷歌Fuzz Bot在开源项目中嗅探出超过千余Bug

2 (25%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan