OverrideFuzz: 스크립트 런타임 취약점을 위한 의미론 인지 문법 퍼징 (Semantic-Aware Grammar Fuzzing)

Python, Lua, JavaScript와 같은 스크립트 언어 런타임 (runtimes)은 보안에 민감한 환경에서 널리 배포되고 있지만, 유효한 입력이 구문 (syntax), 동적 타입 제약 조건 (dynamic type constraints), 그리고 객체 수준의 의미론 (object-level semantics)을 모두 충족해야 하기 때문에 테스트하기가 여전히 어렵습니다. 기존의 문법 기반 (grammar-based) 및 리플렉션 기반 (reflection-based) 퍼저 (fuzzers)들은 구문적 유효성과 인터페이스 도달 가능성 (interface reachability)을 개선하지만, 스크립트와 네이티브 경계 (script-native boundary)를 가로질러 내장된 연산을 재지정하고 Use-after-free 또는 Type-confusion 버그를 유발할 수 있는 오버라이드 훅 (override hooks), 동적 재바인딩 (dynamic rebinding), 속성 해석 (attribute-resolution) 동작을 모델링하는 경우는 드뭅니다.

본 논문에서는 스크립트 언어 런타임을 위한 2단계 의미론 인지 문법 퍼저인 OverrideFuzz를 제안합니다. 선언 단계 (declaration phase)에서는 오버라이드 메서드 (overriding methods)를 가진 객체를 구축하며, 실행 단계 (execution phase)에서는 해당 훅 (hooks)을 통해 경로가 지정되는 연산들을 생성합니다. 능동적 리플렉션 (Active reflection)은 런타임 타입 (runtime types)을 추적하고, 수동적 리플렉션 (passive reflection)은 에러 메시지로부터 학습하여 유효하지 않은 연산 형태를 제거함으로써, 수동적인 API 명세 없이도 생성이 의미론적 정확성 (semantic correctness)에 도달할 수 있도록 합니다.

우리는 CPython, Lua, QuickJS를 대상으로 OverrideFuzz를 평가했습니다. 세 가지 대상 모두 초기에는 급격한 확장 이후 완만한 점진적 이득을 보이는 일관된 커버리지 (coverage) 성장을 보여주었으며, Lua는 널리 퍼져 있는 메타메서드 디스패치 (metamethod dispatch) 메커니즘 덕분에 가장 큰 이점을 얻었습니다. 비록 OverrideFuzz가 제한된 평가 기간 동안 새로운 취약점을 발견하지는 못했지만, 코퍼스 분석 (corpus analysis) 결과 알려진 취약점 패턴과 일치하는 입력을 재구성함을 보여주었으며, 이는 의미론 인지 생성이 의도된 스크립트-네이티브 경계 동작에 도달함을 시사합니다.