紀念首期兩個用Pinpoint找到的CVE
02-11
完全用機器自動在複雜的系統軟體中發現安全漏洞是Pinpoint項目啟動至今的夢想。曾經我們數次重新發現已經被確認的安全漏洞,遺憾沒能早點找到這個問題,感慨人還是強過機器。但從近期開始,這一局面開始被Pinpoint打破,我們終於可以搶在安全研究老司機的前面去探索未知的0-day漏洞!這是Pinpoint的一小步,卻是源代碼靜態分析軟體的一大步!這是屬於全體源傘er的榮譽!
Pinpoint最早兩個被確認的CVE如下:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14739
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14952
其中第二個CVE我們也在官博放出了詳細介紹:
http://www.sourcebrella.com/blog/double-free-vulnerability-international-components-unicode-icu/
該介紹也被收集到了CVE資料庫作為參考:
既然開了頭,自然我們探索的腳步就停不下來了。後續我們會為大家介紹更多Pinpoint的戰果,也期待Pinpoint以後能成為每個安全研究人員手中的秘密武器。
推薦閱讀:
※靜態代碼分析,任重道遠
※關於程序分析領域的研究現狀和熱點趨勢?
※如何學習符號執行(Symbolic Execution)?
※如何理解萊斯定理對程序靜態分析的限制?
※請問c# 有什麼推薦的代碼靜態分析工具?