Een security-onderzoeker die voor Google werkt heeft een fuzzingtool gepubliceerd waarmee hij al honderd browserlekken heeft gevonden.

Onderzoeker Michal Zalewski heeft op 1 januari zijn fuzzertool voor webbrowsers, genaamd cross_fuzz, gepubliceerd. Hij omschrijft het programma als 'verbazingwekkend effectief' in het laten crashen van browsers. Met de tool heeft hij al 100 browserbugs weten te vinden, waarvan de meeste zijn te misbruiken. Zalewski heeft ook meer informatie over het exacte algoritme van de fuzzer gepubliceerd.

Fuzzing is een manier van testen waarbij willekeurige inputs worden toegepast. Doel is om onverwachte situaties te creëren om te zien hoe het programma hierop reageert.

Microsoft reageert traag

Sommige van de browserbugs zijn volgens de onderzoeker al bij anderen bekend. Zijn onderzoek maakt ook melding van de manier waarop de browsermakers op de lekken hebben gereageerd. Microsoft komt er in het overzicht van Zalewski niet goed van af. Het bedrijf is traag met reageren.

In juli meldde Zalewski aan Microsoft al diverse bugs in Internet Explorer, die met cross_fuzz zijn ontdekt. De softwarereus reageerde er tot voor kort niet op, totdat Zalewski op 21 december Microsoft een nieuwe versie van cross_fuzz toestuurde. Microsoft vroeg hem toen de release uit te stellen.

Webkit, Firefox en Opera

Zalewski heeft de lekken in IE niet nader omschreven. Microsoft heeft de lekken gereproduceerd. Maar het bedrijf zegt niet op de hoogte te zijn van exploits of aanvallen die van het lek gebruikmaken, aldus Jerry Bryant, manager bij de afdeling Trustworthy Computing van Microsoft aan PC Magazine.

In Webkit-browsers zijn twee dozijn crashes gevonden. Het grootste deel daarvan is inmiddels gefixt. Tien crashes deden zich voor in Firefox, waarvan de meeste nog niet zijn gepatcht. Opera repareerde ook al diverse bugs, maar heeft ook nog niet alle problemen opgelost.