Abo
  • Services:
Anzeige
Das LLVM-Projekt demonstriert erfolgreich die Bibliothek Libfuzzer.
Das LLVM-Projekt demonstriert erfolgreich die Bibliothek Libfuzzer. (Bild: LLVM)

Fehlersuche: LLVM integriert eigenes Fuzzing-Werkzeug

Das LLVM-Projekt demonstriert erfolgreich die Bibliothek Libfuzzer.
Das LLVM-Projekt demonstriert erfolgreich die Bibliothek Libfuzzer. (Bild: LLVM)

Durch Fuzzing-Technik können unter anderem Sicherheitslücken gefunden werden. Mit Libfuzzer stellt das LLVM-Projekt nun eine eigene Bibliothek dazu bereit und nutzt diese auch selbst für den Compiler Clang.

Anzeige

Die Idee, Software immer wieder mit Eingabedaten aufzurufen, die kleine Fehler enthalten, um Fehler aufzufinden, wird Fuzzing genannt. Der Compiler Clang unterstützt dies zum Teil bereits mit dem Address Sanitizer und anderen Werkzeugen. Mit der Bibliothek Libfuzzer vereinfacht das LLVM-Projekt nun das Erstellen verschiedenere Fuzzing-Test und nutzt diese bereits selbst erfolgreich.

So hat das Team zwei kleine Werkzeuge erstellt, die auf der Bibliothek aufbauen. Eines sorgt für die zufällige Sortierung von Bytes als Eingaben. Außerdem können aber auch Token, welche ebenfalls zufällig strukturiert werden, als Eingaben genutzt werden. Bei den Tokens handelt es sich um Einträge in einem Korpus, das sprachspezifische Anweisungen enthält, also zum Beispiel Teile von C++-Code.

Damit sind einige Fehler in Clang selbst aufgefunden worden. Um zu demonstrieren, dass Libfuzzer aber auch für andere Software als LLVM-Projekte genutzt werden kann, haben die Entwickler nach Fehlern in PCRE, Glibc sowie Musl gesucht und diese auch gefunden. Wir haben vor einigen Tagen beschrieben, wie der Heartbleed-Bug durch Fuzzing aufgefunden werden kann. Das LLVM-Team konnte den Fehler mit Libfuzzer und den gleichen Grundlagen, wie sie in dem Artikel beschrieben wurden, ebenfalls rekonstruieren. Letzteres habe weniger als eine Minute gedauert.

Künftig soll das LLVM-Projekt auch von einem öffentlichen Build-Bot profitieren, der die Fuzzing-Werkzeuge benutzt. Auch damit sei bereits ein Fehler gefunden worden. Das Projekt ruft wegen dieser positiven Erfahrungen dazu auf, die Bibliothek selbst einzusetzen und damit gefundene Fehler, die wirklich aufregend seien, auch an LLVM zu melden.


eye home zur Startseite
TheAlexEe 10. Apr 2015

Hoffe dadurch werden weniger Speicher Probleme in C/C++ Programmen auftreten, welche, wie...



Anzeige

Stellenmarkt
  1. über Hays AG, Nordrhein-Westfalen
  2. GIGATRONIK München GmbH, München
  3. Swiss Post Solutions GmbH, Bamberg
  4. Consors Finanz, München


Anzeige
Blu-ray-Angebote
  1. 139,99€ (Vorbesteller-Preisgarantie)
  2. 9,97€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       


  1. Streaming

    Netflix gewinnt weiter Millionen Neukunden

  2. Zusammenlegung

    So soll das Netz von O2 einmal aussehen

  3. Kohlendioxid

    Island hat ein Kraftwerk mit negativen Emissionen

  4. Definitive Edition

    Veröffentlichung von Age of Empires kurzfristig verschoben

  5. Elex im Test

    Schroffe Schale und postapokalyptischer Kern

  6. Raven Ridge

    HP bringt Convertible mit AMDs Ryzen Mobile

  7. Medion E6436 und P10602

    Preiswertes Notebook und Tablet bei Aldi Süd

  8. Smartphone mit KI

    Huawei stellt neues Mate 10 Pro für 800 Euro vor

  9. KRACK

    WPA2 ist kaputt, aber nicht gebrochen

  10. Medion Akoya E2228T

    280-Euro-Convertible von Aldi hat 1080p



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Science-Fiction wird real: Kampf der Robotergiganten
Science-Fiction wird real
Kampf der Robotergiganten
  1. Roboter Megabots kündigt Video vom Roboterkampf an
  2. IFR Zahl der verkauften Haushaltsroboter steigt stark an
  3. Automatisierung Südkorea erwägt eine Robotersteuer

Core i7-8700K und Core i5-8400 im Test: Ein Sechser von Intel
Core i7-8700K und Core i5-8400 im Test
Ein Sechser von Intel
  1. Core i7-8700K Ultra Edition Overclocking-CPU mit Silber-IHS und Flüssigmetall
  2. Intel Coffee Lake Von Boost-Betteln und Turbo-Tricks
  3. Coffee Lake Intel verkauft sechs Kerne für unter 200 Euro

Mittelerde Schatten des Krieges im Test: Ein Spiel, sie ewig zu binden
Mittelerde Schatten des Krieges im Test
Ein Spiel, sie ewig zu binden
  1. Schatten des Krieges Gold in Mittelerde kostet ab 5 Euro
  2. Schatten des Krieges Mikrotransaktionen in Mittelerde

  1. Re: Wann Patch für Win + Mac?

    muhviehstarrr | 03:57

  2. Sackgasse lässt sich umgehen ;)

    AnonymerHH | 03:21

  3. Re: 900 Tonnen bei 100$ pro Tonne?

    Workoft | 02:46

  4. Verkaufe meine seele

    Jungjung23 | 02:41

  5. Re: blödsinn

    derJimmy | 02:35


  1. 23:03

  2. 19:01

  3. 18:35

  4. 18:21

  5. 18:04

  6. 17:27

  7. 17:00

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel