Narzędzie nosi nazwę cross_fuzz i sięga bardzo głęboko w wewnętrzne mechanizmy przeglądarek internetowych wprowadzając "na żywo" zmiany w wyświetlanych stronach i sprawdzając reakcję przeglądarki. Ma to na celu odnalezienie błędów w mechanizmach zarządzających pamięcią przeglądarki, które mogłyby zostać wykorzystane do przełamania zabezpieczeń i zarażenia komputera złośliwym kodem.
Cross_fuzz został opracowany i przetestowany latem 2010 i wykrył ponad sto błędów w przeglądarkach, o których jego twórca powiadomił producentów przeglądarek. Twórcy Firefoksa, Opery i silnika WebKit (używanego w Chrome i Safari) do końca roku poprawili większość odkrytych błędów. Jednak kiedy Michał Zalewski poinformował zespół bezpieczeństwa Microsoftu o planowanej publikacji narzędzia i raportu z jego użycia, w odpowiedzi otrzymał prośbę o odłożenie tego na bliżej nieokreśloną przyszłość, dopóki programiści z Redmond nie potwierdzą istnienia odnalezionych błędów i ich nie poprawią.
W międzyczasie na prywatną stronę projektu trafiły zapytania z Chin, wskazujące, że ktoś z Państwa Środka odkrył przynajmniej jeden błąd w Internet Explorerze wykryty wcześniej przez cross_fuzz.
Na razie nie ma narzędzi wykorzystujących odnalezione błędy do ataków na komputery, ale to może się szybko zmienić.
[na podstawie lcamtuf's blog , PCMag Security Watch , za Slashdot ]
Janusz A. Urbanowicz
