Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Montage: A Neural Network Language Model-Guided JavaScript Engine Fuzzer

Suyong Lee, Hyung-Seok Han|arXiv (Cornell University)|Jan 13, 2020
Software Testing and Debugging Techniques参考文献 41被引用数 31
ひとこと要約

MontageはASTフラグメントで訓練されたNNLMを用いてJSエンジンのファジングを導き、回帰テストを変異させて現代のエンジン全体で新しい脆弱性とCVEsを明らかにする。

ABSTRACT

JavaScript (JS) engine vulnerabilities pose significant security threats affecting billions of web browsers. While fuzzing is a prevalent technique for finding such vulnerabilities, there have been few studies that leverage the recent advances in neural network language models (NNLMs). In this paper, we present Montage, the first NNLM-guided fuzzer for finding JS engine vulnerabilities. The key aspect of our technique is to transform a JS abstract syntax tree (AST) into a sequence of AST subtrees that can directly train prevailing NNLMs. We demonstrate that Montage is capable of generating valid JS tests, and show that it outperforms previous studies in terms of finding vulnerabilities. Montage found 37 real-world bugs, including three CVEs, in the latest JS engines, demonstrating its efficacy in finding JS engine bugs.

研究の動機と目的

  • CVEsと回帰テストのパターンを活用してJSエンジンの脆弱性を検出するためにNNLMの活用を動機づける。
  • JSのASTの断片ベース表現を提案し、構文的・意味的関係についてニューラル言語モデルを訓練する。
  • NNLM推奨の断片で回帰テストを変異させ、実行可能なJSテストを生成するワークフローを開発する。
  • ChakraCoreおよび現代のエンジンに対して最先端のファザーツールと比較して脆弱性発見の観点からMontageを評価する。

提案手法

  • JSのASTを深さ1の断片の列へ変換してNNLMを訓練する。
  • 断片列とAST文脈を与えて次の断片を予測するLSTMベースのモデルを訓練する。
  • NNLM推奨の断片で部分木を置換してシード回帰テストを変異させ、参照エラーを解消する。
  • 複数の72時間ファジングキャンペーンを実施し、見つかったバグをCodeAlchemist、jsfunfuzz、IFuzzerと比較して有効性を測定する。
  • Montageの断片ベースNNLMアプローチを、ランダム、マルコフ、文字/トークンレベルのNNLMベースラインと比較する。

実験結果

リサーチクエスチョン

  • RQ1NNLM誘導の断片化は、回帰テストにおける新しいJSエンジンの脆弱性につながるパターンを明らかにするか。
  • RQ2断片は伝統的な手法よりファジングの有効性を向上させる構文的・意味的関係を捉えるか。
  • RQ3Montageは主要なJSエンジンにおいて現実世界のバグやCVEを発見するのにどれくらい効果的か。
  • RQ4JSファジングにおいて断片を使うことと従来のトークンベースまたは文法ベース生成の影響はどうか。

主な発見

  • MontageはChakraCore 1.4.1で5回の72時間キャンペーンにおいて133件のバグを発見し、そのうちセキュリティバグは15件。
  • セキュリティバグのうち、CodeAlchemist、jsfunfuzz、IFuzzerがそれぞれ発見しなかったバグは9件、12件、12件である。
  • ChakraCore、JavaScriptCore、V8全体でユニークなバグを37件発見し、そのうちセキュリティバグは3件を含む。
  • 37件のうち34件はChakraCoreで発見され、残りはJavaScriptCoreとV8である。
  • Montageはセキュリティバグの中で複数のCVEを発見し、実世界のエンジンでの有効性を示した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。