Googles OSS Fuzz testet Open-Source-Software auf Schwachstellen

December 4, 2016 - 3:54 pm in Software-Entwicklung

Google hat die Software zusammen mit der Core Infrastructure Initiative entwickelt, die die Sicherheit von Open-Source-Software verbessern will.

Google hat mit OSS Fuzz ein Projekt vorgestellt, das Open Source Software mittels Fuzzing auf Schwachstellen abklopft. Das Tool füttert die zu testenden Programme mit zufälligen Eingaben und deckt so potenziell Angriffsfläche auf, die menschliche Tester übersehen, die mehr oder wenig plausible Daten zum Testen verwenden. Mittels Fuzzing lassen sich beispielsweise Pufferüberläufe aufdecken, die durch unerwartete Eingaben entstehen.

OSS Fuzz bietet keine neue Fuzzing-Techniken, sondern wendet vorhandene an, die es verteilt im großen Rahmen ausführt. Anfangs setzt das Tool auf die Bibliothek LibFuzzer. Außerdem verwendet es Sanitizers, die verschiedene Bereinigungstools wie den LeakSanitizer zum Erkennen von Speicherlecks verbinden.

Private und öffentliche Benachrichtigung

Projektbetreiber oder Freiwillige können ihre Open-Source-Software über ein Pull Request vorschlagen. Das Projekt muss eine ausreichend große Nutzerbasis oder Bedeutung für die allgemeine IT-Infrastruktur haben. Wenn OSS Fuzz eine Schwachstelle entdeckt, erzeugt es automatisch ein Issue in einem eigenen Tracker, da der in GitHub integrierte derzeit keine private Anzeige der Issues ermöglicht. Der Projektbetreiber erhält zudem eine Benachrichtigung. Sobald das Problem behoben ist, überprüft das Tool die Software erneut und schließt den Issue. Sieben Tage nach dem Schließen oder 90 Tage nach dem Report wird der Issue veröffentlicht.

Google hat das Projekt in Zusammenarbeit mit der Core Infrastructure Initiative ins Leben gerufen, die sich um die Sicherheit von Open-Source-Software bemüht. Zu den Mitgliedern gehören neben Google unter anderem Amazon Web Services, Facebook, IBM und Microsoft. Den Beirat bilden prominente Sicherheitsexperten wie Alan Cox und Bruce Schneier.

Weitere Details zu OSS Fuzz finden sich auf GitHub und in einem Blogbeitrag. Derzeit bearbeitet das Tool demnach etwa vier Billionen Testfälle pro Woche und hat bisher 150 Bugs in weit verbreiteten Open-Source-Projekten gefunden. Aktuell befindet sich OSS Fuzz in der Betaphase. Wer ein Projekt für Tests vorschlagen möchte, findet weitere Infos in der Projektbeschreibung. (rme)

Read more on: Source

Glasfaserausbau: Mit Microtrenching kommt Fibre to the Farm

December 4, 2016 - 10:14 am in Internet

Unitymedia baut in Südbaden sein Netz auch im ländlichen Raum aus. Mit einem schonenden Verlegeverfahren wird die Glasfaser bis ins Haus gelegt –…

CA Technologies will Automic übernehmen

December 4, 2016 - 9:50 am in Software-Entwicklung

Im Zuge der Übernahme will CA eine Cloud-basierte End-to-End Automatisierungs- und Orchestrierungs-Plattform für Applikationen und Business-Prozesse…

Verschlüsselung: heise online und Heise-Onlinedienste stellen komplett auf HTTPS um

December 4, 2016 - 9:47 am in Security

Heise Medien leitet ab sofort alle Besucher automatisch auf die verschlüsselte Variante um. Das Fernziel der Komplett-Umstellung wurde damit schneller erreicht als absehbar. Heise Medien hat seine Webangebote nun auf HTTPS umgestellt und erzwingt die Verschlüsselung…

SourceForge bietet optional HTTPS für Projektseiten

December 4, 2016 - 3:45 am in Software-Entwicklung

Projektbetreiber können die sichere Übertragung mit einem Klick in den Optionen aktivieren. Die alte Domain wird automatisch umgeleitet. Der Hostingdienst für Softwareprojekte SourceForge bietet Projektbetreibern ab sofort die Möglichkeit, den Zugriff…

xHamster dementiert Hack der Porno-Webseite

December 4, 2016 - 3:45 am in Security

Es soll vor vier Jahren einen missglückten Hack-Versuch gegeben haben. Dabei sollen den Webseiten-Betreibern zufolge aber keine Nutzer-Daten abzogen worden sein. Ein Sprecher der Porno-Webseite xHamster versichert, dass es keinen erfolgreichen Hack ihrer…

AWS re:Invent: Amazon präsentiert neue Dienste und Funktionen für Entwickler

December 3, 2016 - 9:40 pm in Software-Entwicklung

Amazon Web Services (AWS) hat auch gestern auf seiner Konferenz AWS re:Invent in Las Vegas eine Reihe neuer Services vorgestellt. Dieses Mal standen die Produkte für Entwickler im Fokus. Den zweiten Tag der Entwicklerkonferenz AWS re:Invent in Las Vegas hat…

Kommentar: Das Internet (der Dinge) darf kein rechtsfreier Raum bleiben

December 3, 2016 - 9:40 pm in Security

Das Internet der Dinge wird immer mehr zum Risiko. Ob Riesenbotnetze oder lahmgelegte Router – der Markt versagt in Sachen Sicherheit. Der Staat muss jetzt klare Regeln schaffen, findet Jürgen Schmidt. Wenn ich ein Gerät ans Stromnetz anschließe, muss…

Lift 3 hat zahlreiche Neuerungen, aber kein Scala 2.12

December 3, 2016 - 3:36 pm in Software-Entwicklung

Das ScalaWebframework enthält erweiterte Seurity-Regeln und soll deutlich schneller mit Lift-json serialisieren. Wegen eines Compiler-Bugs in Scala 2.12 arbeitet es lediglich bis Version 2.11.8 der Programmiersprache zusammen. Das Lift-Team hat Version 3.0…

Windows 10: Laufwerksverschlüsselung lässt sich während Versions-Upgrades umgehen

December 3, 2016 - 3:35 pm in Security

Eine groteske Sicherheitslücke, die Microsoft selbst mit Konzepten zum komfortablen Administrieren eröffnet, gewährt Angreifern vollen Zugriff auf verschlüsselte Windows-Laufwerke. Einzige Voraussetzung: ausreichende Geduld. Das Verfahren, mit dem neue…