Google pousse la méthode fuzzing pour les moteurs JavaScript

Google lance un programme de dotations destiné à favoriser l’usage du fuzzing pour la recherche de vulnérabilités dans les moteurs JavaScript.

La sécurité des moteurs JavaScript est critique, mais leur relative lenteur pour traiter les entrées peut rendre coûteuse la recherche de bugs par injection de code (fuzzing).

C’est sur la base de ce constat que Google lance un programme pilote doté de 50 000 $. Il prendra fin lorsque l’enveloppe aura été allouée en totalité. Ou, à défaut, le 1^er octobre 2021.

Contrairement à des programmes comme Google Cloud research credits, celui-ci n’est pas limité à la sphère académique. Les projets – à soumettre ici – bénéficieront d’un maximum de 5 000 $ en crédits GCE pour leur mise en œuvre.

Google s’intéresse plus particulièrement aux « nouvelles approches ». Entre autres sur :

les métriques qu’exploitent les fuzzers ;
les opérations de haut niveau, comme le fuzzing différentiel ;
les techniques de mutation ou de génération de code ;
les méthodes cibles pour découvrir des variantes de bugs connus.

Le groupe américain s’engage à étudier les propositions sous deux semaines. Et précise qu’il sera possible d’obtenir plusieurs dotations GCE au cours d’un même projet.

Il faudra cependant respecter des conditions :

Travailler sur JavaScript Core (Safari), v8 (Chrome, Edge) ou Spidermonkey (Firefox)
Mettre en open source tout code développé dans le cadre d’un projet
Signaler les failles aux éditeurs (Google recommande d’adopter la « politique des 90 jours » de son équipe Project Zero)
Rendre deux rapports : un intermédiaire à la fin du fuzzing pour démontrer les résultats, puis un final, au plus tard six mois après la première dotation

Google recommande de s’appuyer sur le fuzzer open source Fuzzilli, qui prend en charge le fuzzing distribué sur GCE.

Lire aussi : Chrome : comment Google travaille pour limiter Javascript