OSTIF (Open Source Technology Improvement Fund), utworzony w celu wzmacniania bezpieczeństwa projektów open source, ogłosił zakończenie niezależnego audytu kodu projektu LLVM. Prace wykonała angielska firma Ada Logics. W trakcie prowadzonych prac przywrócono przerwany ponad rok temu proces testowy w OSS-Fuzz. Zwiększono zasięg bazy kodu używanej w testach fuzzingowych z 1.1 do 2.4 miliona linii kodu. Rozszerzono także narzędzia wykorzystywane do testów fuzzingowych oraz zwiększono liczbę silników fuzzingowych wykorzystywanych do testów z 12 do 15.
W rezultacie zidentyfikowano 12 nowych problemów w kodzie LLVM, z czego 8 było spowodowanych błędami prowadzącymi do uszkodzenia pamięci. 6 zidentyfikowanych luk spowodowało przepełnienie bufora, 2 umożliwiły dostęp do już zwolnionej pamięci, 3 wyłuskiwały referencje zerowe, a 1 spowodowała odczyt z obszaru poza przydzielonym buforem.
Źródło: opennet.ru
