Google’ın AI Destekli OSS-Fuzz Aracı, Açık Kaynak Projelerinde 26 Güvenlik Açığı Tespit Etti
Google, yapay zeka destekli fuzzing aracı OSS-Fuzz’ın, OpenSSL şifreleme kütüphanesi de dahil olmak üzere çeşitli açık kaynak kod havuzlarında 26 güvenlik açığını ortaya çıkardığını duyurdu.
Google’ın açık kaynak güvenlik ekibi, yaptığı açıklamada, “Bu güvenlik açıkları, otomatik güvenlik açığı tespitinde bir dönüm noktası: Her biri yapay zeka tarafından oluşturulan ve iyileştirilen fuzz hedefleriyle keşfedildi,” ifadelerini kullandı.
OpenSSL’de CVE-2024-9143 güvenlik açığı
Belirtilen güvenlik açıklarından biri, OpenSSL kütüphanesinde bulunan CVE-2024-9143 kodlu, orta derecede ciddi bir açık. CVSS puanı 4.3 olan bu bellek dışı yazma hatası, uygulama çökmesine veya uzaktan kod çalıştırılmasına yol açabiliyor. Sorun, OpenSSL’in 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb ve 1.0.2zl sürümlerinde giderildi.
Google, bu güvenlik açığının kod tabanında 20 yıldır bulunduğunu ve insan eliyle yazılan mevcut fuzz hedefleriyle keşfedilemeyeceğini belirtti. Şirket, Ağustos 2023’te OSS-Fuzz’da büyük dil modelleri (LLM) kullanarak fuzzing kapsamını genişletmişti.
Yapay zeka ile artan kod kapsamı
Yapay zekanın fuzz hedefleri oluşturmadaki kullanımı, 272 C/C++ projesindeki kod kapsama oranını artırdı ve 370.000’den fazla yeni kod satırı eklendi.
Google, “Bu tür hataların uzun süre keşfedilememesinin bir nedeni, satır kapsamının bir fonksiyonun hatasız olduğunu garanti etmemesidir,” dedi. “Kod kapsamı bir ölçüt olarak tüm olası kod yollarını ve durumlarını ölçemez; farklı bayraklar ve yapılandırmalar, farklı davranışları tetikleyebilir ve farklı hataları ortaya çıkarabilir.”
Bellek güvenliğine geçiş çalışmaları
Google, açık kaynaklı projelerde bellek güvenliği sağlamayı hedefleyen çalışmalarını sürdürüyor. Şirket, C++ projelerinde yer alan mekansal bellek güvenliği açıklarını ele almak için Chrome gibi projelerde Safe Buffers ve hardened libc++ kullanımına geçti. Bu değişikliklerin ortalama %0,30 gibi minimal bir performans etkisi yarattığı belirtildi.
Hardened libc++, standart C++ veri yapılarında sınır kontrolleri ekleyerek bellek dışı erişim gibi hataları tespit etmeyi hedefliyor. Google, “C++ tam anlamıyla bellek güvenli hale gelmese de bu iyileştirmeler riski azaltarak daha güvenilir ve emniyetli yazılımlar sunuyor,” ifadelerini kullandı.
