Abo
  • Services:
Anzeige
Das LLVM-Projekt demonstriert erfolgreich die Bibliothek Libfuzzer.
Das LLVM-Projekt demonstriert erfolgreich die Bibliothek Libfuzzer. (Bild: LLVM)

Fehlersuche: LLVM integriert eigenes Fuzzing-Werkzeug

Das LLVM-Projekt demonstriert erfolgreich die Bibliothek Libfuzzer.
Das LLVM-Projekt demonstriert erfolgreich die Bibliothek Libfuzzer. (Bild: LLVM)

Durch Fuzzing-Technik können unter anderem Sicherheitslücken gefunden werden. Mit Libfuzzer stellt das LLVM-Projekt nun eine eigene Bibliothek dazu bereit und nutzt diese auch selbst für den Compiler Clang.

Anzeige

Die Idee, Software immer wieder mit Eingabedaten aufzurufen, die kleine Fehler enthalten, um Fehler aufzufinden, wird Fuzzing genannt. Der Compiler Clang unterstützt dies zum Teil bereits mit dem Address Sanitizer und anderen Werkzeugen. Mit der Bibliothek Libfuzzer vereinfacht das LLVM-Projekt nun das Erstellen verschiedenere Fuzzing-Test und nutzt diese bereits selbst erfolgreich.

So hat das Team zwei kleine Werkzeuge erstellt, die auf der Bibliothek aufbauen. Eines sorgt für die zufällige Sortierung von Bytes als Eingaben. Außerdem können aber auch Token, welche ebenfalls zufällig strukturiert werden, als Eingaben genutzt werden. Bei den Tokens handelt es sich um Einträge in einem Korpus, das sprachspezifische Anweisungen enthält, also zum Beispiel Teile von C++-Code.

Damit sind einige Fehler in Clang selbst aufgefunden worden. Um zu demonstrieren, dass Libfuzzer aber auch für andere Software als LLVM-Projekte genutzt werden kann, haben die Entwickler nach Fehlern in PCRE, Glibc sowie Musl gesucht und diese auch gefunden. Wir haben vor einigen Tagen beschrieben, wie der Heartbleed-Bug durch Fuzzing aufgefunden werden kann. Das LLVM-Team konnte den Fehler mit Libfuzzer und den gleichen Grundlagen, wie sie in dem Artikel beschrieben wurden, ebenfalls rekonstruieren. Letzteres habe weniger als eine Minute gedauert.

Künftig soll das LLVM-Projekt auch von einem öffentlichen Build-Bot profitieren, der die Fuzzing-Werkzeuge benutzt. Auch damit sei bereits ein Fehler gefunden worden. Das Projekt ruft wegen dieser positiven Erfahrungen dazu auf, die Bibliothek selbst einzusetzen und damit gefundene Fehler, die wirklich aufregend seien, auch an LLVM zu melden.


eye home zur Startseite
TheAlexEe 10. Apr 2015

Hoffe dadurch werden weniger Speicher Probleme in C/C++ Programmen auftreten, welche, wie...



Anzeige

Stellenmarkt
  1. Deutsche Gesetzliche Unfallversicherung e.V., Sankt Augustin
  2. SKF GmbH, Schweinfurt
  3. CENIT AG, Stuttgart
  4. Daimler AG, Leinfelden-Echterdingen


Anzeige
Top-Angebote
  1. 15€ sparen mit Gutscheincode GTX15 (Bestpreis laut Preisvergleich)
  2. (u. a. 3x B12-PS 120mm für 49,90€, 3x B14-1 140mm für 63,90€ statt 71,70€)
  3. 849,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Smartphones

    iOS legt weltweit zu - außer in China und Deutschland

  2. Glasfaser

    Ewe steckt 1 Milliarde Euro in Fiber To The Home

  3. Nanotechnologie

    Mit Nanokristallen im Dunkeln sehen

  4. Angriff auf Verlinkung

    LG Hamburg fordert Prüfpflicht für kommerzielle Webseiten

  5. Managed-Exchange-Dienst

    Telekom-Cloud-Kunde konnte fremde Adressbücher einsehen

  6. Rockstar Games

    Spieleklassiker Bully für Mobile-Geräte erhältlich

  7. Crimson Relive Grafiktreiber

    AMD lässt seine Radeon-Karten chillen und streamen

  8. Layout Engine

    Facebook portiert CSS-Flexbox für native Apps

  9. Creators Update für Windows 10

    Microsoft wird neue Sicherheitsfunktionen bieten

  10. Landgericht Traunstein

    Postfach im Impressum einer Webseite nicht ausreichend



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Pornoseite Xhamster spricht von Fake-Leak
  2. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert
  3. Spionage Malware kann Kopfhörer als Mikrofon nutzen

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

  1. Re: Linux + Wine?

    ManMashine | 20:53

  2. Re: Ja ist denn heut schon Weihnachten?

    hle.ogr | 20:51

  3. Re: Die erste kurze Demo sieht ja schon mal gut aus

    Moe479 | 20:50

  4. Re: Es werden "bis zu 300 MBit/s innerhalb eines...

    Ovaron | 20:45

  5. Re: Mit Glasfaser wäre das nicht passiert :-)

    Ovaron | 20:42


  1. 18:02

  2. 16:46

  3. 16:39

  4. 16:14

  5. 15:40

  6. 15:04

  7. 15:00

  8. 14:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel