Началось формирование ASan-сборок Firefox для выявления проблем при работе с памятью
20 июля 2018 года
В рамках проекта ASan Nightly (Архивная копия от 11 ноября 2020 на Wayback Machine) разработчики Mozilla начали публикацию ежедневно обновляемых сборок Firefox, собранных с AddressSanitizer для выявления проблем в процессе работы с памятью, в том числе вызванных обращением к областям памяти после их освобождения (use-after-free) и различными вариантами переполнения буферов и стека.
Сборки примечательны включением автоматической отправки уведомлений о выявленных проблемах. Более того, на автоматически создаваемые уведомления распространяется действие программы выплаты вознаграждения за выявление уязвимостей. Т.е. пользователь может просто использовать браузер обычным образом, а в случае возникновения нештатной ситуации при просмотре какого-то сайта, например, краха, будет отправлено уведомление о проблеме, за которое пользователь может получить денежное вознаграждение в случае, если проблема будет признана уязвимостью.
Размер вознаграждения может составить от 500 до 3000 долларов, в зависимости от опасности проблемы. Для участия в программе выплаты вознаграждения пользователь должен идентифицировать себя, указав свой email в поле asanreporter.clientid через интерфейс about:config (если email не будет указан отчёты будут отправляться анонимно, а присуждённое вознаграждение будет рассматриваться как пожертвование проекту).
В качестве причины создания отдельной ASan-сборки называется желание восполнить недостаток информации, присылаемой в результате отчётов о крахах - подобные отчёты часто указывают на наличие потенциальной уязвимости, но причину краха не всегда удаётся оперативно выявить из-за отсутствия необходимых отладочных данных. Например, в обычных сборках очень трудно локализовать проблемы use-after-free, так как крах обычно происходит значительно позднее выполнения кода с ошибкой при освобождении памяти.
Из-за необходимости сохранения всех освобождённых блоков сборка ASan потребляет заметно больше памяти по сравнению со штатными сборками, поэтому для комфортной работы рекомендуется 16 Гб ОЗУ и ежедневный перезапуск браузера. ASan-сборка пока доступна только для Linux. С точки зрения производительности ASan-сборока незначительно отличается от обычных ночных сборок.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.