Опубликованы результаты аудита безопасности кодовой базы LLVM

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о завершении независимого аудита кода проекта LLVM. Работа выполнена английской компанией Ada Logics. В ходе проведённой работы был восстановлен прерванный более года назад процесс тестирования в OSS-Fuzz. С 1.1 до 2.4 млн строк кода увеличен охват кодовой бызы, вовлечённой в fuzzing-тестирование. Также был расширен используемый для fuzzing-тестирования инструментарий, а число применяемых для проверки fuzzing-движков увеличено с 12 до 15.

В итоге в кодовой базе LLVM удалось выявить 12 новых проблем, из которых 8 были вызваны ошибками, приводящими к повреждению памяти. 6 выявленных уязвимостей приводили к переполнению буфера, 2 к обращению к уже освобождённой памяти, 3 — к разыменованию нулевых уязазателей и 1 к чтению из области вне выделенного буфера.

Источник: opennet.ru