โครงการ OSS-Fuzz รายงานถึงช่องโหว่ CVE-2024-9143 ของ OpenSSL ที่พบจากโครงการย่อย OSS-Fuzz-Gen โดยมีความเป็นไปได้ที่จะเป็นช่องโหว่ remote code execution แม้น่าจะโจมตีได้ยากก็ตาม ความพิเศษของช่องโหว่นี้คือมันเป็น CVE แรกที่ OSS-Fuzz-Gen ได้

ตอนนี้ OSS-Fuzz-Gen พบบั๊กแล้วจำนวน 26 รายการตั้งแต่ปลายปีที่แล้ว และยังมีบั๊กจำนวนหนึ่งยังไม่เปิดเผย แต่บั๊กก่อนหน้านี้ไม่ได้ให้เลข CVE เอาไว้

ช่องโหว่นี้เกิดจากการตั้งค่า encoding X9.62 ที่กรณีปกติแล้วไม่มีการใช้งานกันมากนัก แม้จะเป็นช่องโหว่ remote code execution จริงก็ความเสี่ยงไม่สูงนัก แต่แอปพลิเคชั่นที่ได้รับผลกระทบต้องมีการใช้งานที่พิเศษ

OSS-Fuzz-Gen อาศัยปัญญาประดิษฐ์แบบ LLM ช่วยสร้างชุดทดสอบแบบ fuzz test โดยหากโค้ดคอมไพล์ไม่ผ่านก็จะแก้ไขด้วยตัวเองจนผ่านแล้วยิงค่า ตอนนี้โครงการรองรับภาษา C/C++/Java/Python

ที่มา - OpenSSL