{"id":1451219,"date":"2024-11-21T09:11:44","date_gmt":"2024-11-21T09:11:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-herramienta-oss-fuzz-impulsada-por-ia-de-google-encuentra-26-vulnerabilidades-en-proyectos-de-codigo-abierto\/"},"modified":"2024-11-21T09:11:49","modified_gmt":"2024-11-21T09:11:49","slug":"la-herramienta-oss-fuzz-impulsada-por-ia-de-google-encuentra-26-vulnerabilidades-en-proyectos-de-codigo-abierto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-herramienta-oss-fuzz-impulsada-por-ia-de-google-encuentra-26-vulnerabilidades-en-proyectos-de-codigo-abierto\/","title":{"rendered":"La herramienta OSS-Fuzz impulsada por IA de Google encuentra 26 vulnerabilidades en proyectos de c\u00f3digo abierto"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>21 de noviembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia artificial \/ Seguridad del software<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Google ha revelado que su herramienta de fuzzing impulsada por IA, OSS-Fuzz, se ha utilizado para ayudar a identificar 26 vulnerabilidades en varios repositorios de c\u00f3digo fuente abierto, incluida una falla de gravedad media en la biblioteca criptogr\u00e1fica OpenSSL.<\/p>\n

“Estas vulnerabilidades particulares representan un hito para la b\u00fasqueda automatizada de vulnerabilidades: cada una fue encontrada con IA, utilizando objetivos fuzz mejorados y generados por IA”, dijo el equipo de seguridad de c\u00f3digo abierto de Google. dicho<\/a> en una publicaci\u00f3n de blog compartida con The Hacker News.<\/p>\n

La vulnerabilidad OpenSSL en cuesti\u00f3n es CVE-2024-9143<\/a> (Puntuaci\u00f3n CVSS: 4,3), un error de escritura en memoria fuera de los l\u00edmites que puede provocar un fallo de la aplicaci\u00f3n o la ejecuci\u00f3n remota de c\u00f3digo. El problema ha sido dirigido<\/a> en las versiones OpenSSL 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb y 1.0.2zl.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Google, que a\u00f1adi\u00f3 la capacidad de aprovechar<\/a> Large Language Models (LLM) para mejorar la cobertura de fuzzing en OSS-Fuzz en agosto de 2023, dijo que la vulnerabilidad probablemente ha estado presente en el c\u00f3digo base durante dos d\u00e9cadas y que “no habr\u00eda sido detectable con objetivos de fuzz existentes escritos por humanos”.<\/p>\n

Adem\u00e1s, el gigante tecnol\u00f3gico se\u00f1al\u00f3 que el uso de la IA para generar objetivos difusos<\/a> ha mejorado la cobertura de c\u00f3digo en 272 proyectos C\/C++, agregando m\u00e1s de 370.000 l\u00edneas de c\u00f3digo nuevo.<\/p>\n

“Una de las razones por las que estos errores podr\u00edan permanecer sin descubrirse durante tanto tiempo es que la cobertura de la l\u00ednea no es garant\u00eda de que una funci\u00f3n est\u00e9 libre de errores”, dijo Google. “La cobertura del c\u00f3digo como m\u00e9trica no puede medir todas las rutas y estados posibles del c\u00f3digo; diferentes indicadores y configuraciones pueden desencadenar diferentes comportamientos, descubriendo diferentes errores”.<\/p>\n

Estos descubrimientos de vulnerabilidades asistidos por IA tambi\u00e9n son posibles gracias al hecho de que los LLM est\u00e1n demostrando ser expertos en emular el flujo de trabajo difuso de un desarrollador, lo que permite una mayor automatizaci\u00f3n.<\/p>\n

El desarrollo se produce cuando la compa\u00f1\u00eda revel\u00f3 a principios de este mes que su marco basado en LLM llamado Big Sleep facilit\u00f3 la detecci\u00f3n de una vulnerabilidad de d\u00eda cero en el motor de base de datos de c\u00f3digo abierto SQLite.<\/p>\n

Al mismo tiempo, Google ha estado trabajando para hacer la transici\u00f3n de sus propias bases de c\u00f3digo a lenguajes seguros para la memoria<\/a> como Rust, al mismo tiempo que moderniza mecanismos para abordar las vulnerabilidades de seguridad de la memoria espacial, que ocurren cuando es posible que un fragmento de c\u00f3digo acceda a la memoria que est\u00e1 fuera de sus l\u00edmites previstos, dentro de proyectos C++ existentes, incluido Chrome.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Esto incluye migrar a Buffers seguros<\/a> y habilitando libc ++ endurecido<\/a>que agrega verificaci\u00f3n de l\u00edmites a las estructuras de datos est\u00e1ndar de C++ para eliminar una clase importante de errores de seguridad espacial. Adem\u00e1s, se\u00f1al\u00f3 que los gastos generales incurridos como resultado de la incorporaci\u00f3n del cambio son m\u00ednimos (es decir, un impacto promedio en el rendimiento del 0,30%).<\/p>\n

“El libc++ reforzado, agregado recientemente por contribuyentes de c\u00f3digo abierto, introduce un conjunto de controles de seguridad dise\u00f1ados para detectar vulnerabilidades como accesos fuera de l\u00edmites en producci\u00f3n”, Google dicho<\/a>. “Si bien C++ no ser\u00e1 completamente seguro para la memoria, estas mejoras reducen el riesgo […]lo que lleva a un software m\u00e1s confiable y seguro”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n