OSS-Fuzz: Google bietet Open-Source-Projekten Geld für neues Fuzzing

Mit der OSS-Fuzz-Initiative sucht Google nach Bugs in Open-Source-Software. Projekte erhalten nun Geld für eine weitere Integration.

Artikel veröffentlicht am ,
Google erweitert OSS-Fuzz um Sanitizer.
Google erweitert OSS-Fuzz um Sanitizer. (Bild: Reuters)

Google erweitert die seit sechs Jahren laufende Initiative OSS-Fuzz um sogenannte Sanitizer, mit denen zahlreiche weitere Klassen von Fehlern und Sicherheitslücken gefunden werden sollen. Zuvor konzentrierte sich das Projekt auch auf Grund des prinzipiellen Ansatzes eher auf Speicherfehler. Die Integration der Sanitizer durch Open-Source-Projekte will Google finanziell belohnen.

Stellenmarkt
  1. SAP Job - SAP BW / 4HANA Berater (m/w/x)
    über duerenhoff GmbH, München
  2. Ingenieur (w/m/d) Kommunikationstechnik
    Deutscher Bundestag, Berlin
Detailsuche

Konkret heißt es in der Ankündigung in Googles Security-Blog, dass das Unternehmen bis zu 11.337 US-Dollar an Projekte auszahlen wolle, die mit Hilfe der neuen Sanitizer mindestens zwei Fehler fänden. Über ein weiteres Vergütungsprogramm bietet das Unternehmen bereits seit längerem Geld für die Integration neuer Projekte in die OSS-Fuzz-Infrastruktur. Die ausgezahlte Summe hängt von der Tiefe der Integration ab.

Die Anstrengungen zu den neuen Sanitizern begann Google im vergangenen Dezember als Reaktion auf die Log4Shell-Lücke. Bei einer Kooperation mit den Sicherheitsforschern von Code Intelligence konnten die Beteiligten zeigen, dass die Lücke auch durch Fuzzing gefunden werden konnte.

Google verweist darüber hinaus auf eine durch die Sanitizer gefundene Lücke in TinyGLTF. Dabei handelt es sich um eine weit verbreitete C++-Bibliothek für die Nutzung in 3D-Anwendungen. Google konnte darin eine Command-Injection-Lücke per Fuzzing finden.

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    28.-30.11.2022, Virtuell
  2. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    17.-21.10.2022, Virtuell
Weitere IT-Trainings

Die OSS-Fuzz-Initiative startete Google auch als Reaktion auf die Heartbleed-Lücke. Auch Heartbleed hätte durch Fuzzing gefunden werden können. Beim Fuzzing nutzt man fehlerhafte Eingabedaten und prüft, ob die Software beim Verarbeiten der Daten abstürzt oder andere Probleme verursacht. Dies kann oft ein Anzeichen für eine Sicherheitslücke sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /