Fuzzing

Sécurité

Bugs that survive the heat of continuous fuzzing

Malgré des années de fuzzing intensif, des projets open source peuvent encore contenir des bugs critiques. L'OSS-Fuzz, collaborant avec la fondation OpenSSF, a découvert des failles dans plus de 1300 projets. Cependant, même avec une supervision humaine, des vulnérabilités dangereuses peuvent rester indétectées en raison de la couverture de code insuffisante et de la dépendance à des bibliothèques externes non testées. Des exemples incluent GStreamer, Poppler et Exiv2, qui montrent la nécessité d'une vigilance continue et d'une expertise en sécurité pour maintenir l'efficacité du fuzzing.

github.blog

fuzzing
Sécurité

Uncovering GStreamer secrets

Cet article présente les résultats d'une recherche sur la sécurité de GStreamer, un framework multimédia open source utilisé dans GNOME. L'auteur décrit l'approche adoptée pour identifier 29 vulnérabilités, en particulier dans les formats MKV et MP4, mettant en avant la difficulté de fuzzing avec des fichiers médiatiques en raison de leur taille. L'article souligne également l'importance de créer un corpus d'entrée personnalisé pour améliorer les résultats du fuzzing, en comparant deux méthodes : l'utilisation de générateurs basés sur la grammaire et la création d'un générateur spécifique à un logiciel.

github.blog

fuzzing