L'OSTIF (Open Source Technology Improvement Fund), creato per rafforzare la sicurezza dei progetti open source, ha annunciato il completamento di un audit indipendente del codice del progetto LLVM. Il lavoro è stato realizzato dalla società inglese Ada Logics. Nel corso dei lavori svolti è stato ripristinato il processo di testing in OSS-Fuzz, interrotto più di un anno fa. La copertura della base di codice coinvolta nel test fuzzing è stata aumentata da 1.1 a 2.4 milioni di righe di codice. Anche gli strumenti utilizzati per i test fuzzing sono stati ampliati e il numero di motori fuzzing utilizzati per i test è stato aumentato da 12 a 15.
Di conseguenza, sono stati identificati 12 nuovi problemi nel codice base LLVM, di cui 8 causati da errori che hanno portato al danneggiamento della memoria. 6 vulnerabilità identificate hanno provocato un overflow del buffer, 2 nell'accesso alla memoria già liberata, 3 nel dereferenziare riferimenti nulli e 1 nella lettura da un'area esterna al buffer allocato.
Fonte: opennet.ru