Alle softwareontwikkelaars zouden gebruik van fuzzing moeten maken wanneer ze hun code op kwetsbaarheden controleren, toch wordt dit nog altijd niet voldoende gedaan, aldus Google. Fuzzing is een methode voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.

Recentelijk wisten onderzoekers van Google door middel van fuzzing een kwetsbaarheid in het TinyGLTF-project te vinden. TinyGLTF is een library voor het laden en opslaan van glTF-data. Via het beveiligingslek (CVE-2022-3008) is het mogelijk om kwaadaardige code uit te voeren in projecten die van TinyGLTF gebruikmaken. Volgens Google gaat het hier om een eenvoudig te vinden kwetsbaarheid die serieuze gevolgen kan hebben.

"De ontdekking laat zien dat fuzzing, een testmethode die voornamelijk bekend staat voor het vinden van memory corruption kwetsbaarheden in C/C++-code, een grote potentie heeft voor het vinden van meer soorten kwetsbaarheden", aldus Jonathan Metzman van het Google Open Source Security Team. Google lanceerde zes jaar geleden een eigen fuzzingtool genaamd OSS-Fuzz, waarmee al meer dan achtduizend kwetsbaarheden in opensourcesoftwareprojecten zijn gevonden.

Gezien de potentie en brede toepasbaarheid van fuzzing is het volgens Metzman een noodzakelijke testmethode voor alle softwareprojecten. "Fuzzing heeft nog altijd veel onontdekte potentie in het vinden van meer soorten kwetsbaarheden." Eind vorig jaar maakte Google bekend dat het Apache Log4j via fuzzing onafgebroken op nieuwe kwetsbaarheden controleert.