Udbredt komprimering er sårbar

Artiklen blev oprindeligt publiceret den 27/6/2014

Et udbredt system til komprimering af data har en sårbarhed, der kan misbruges til at afvikle programkode. Fejlen findes i LZO og LZ4.

Sårbarheden ligger i programkode, der implementerer komprimeringsalgoritmen Lempel-Ziv-Oberhumer (LZO). Markus Oberhumer, der opfandt algoritmen i 1994, skrev også programkode, der implementerede den.

Denne kode går igen i en lang række af de produkter, der bruger algoritmen. Det gælder programmer som OpenVPN, FFmpeg, Linux-kernen, Android og sågar Mars Curiosity Rover, der kører rundt på overfladen af Mars for tiden.

Udviklerne af de forskellige varianter af LZO og LZ4 har udsendt rettelser. Det samme gælder mange af de programmer, der anvender algoritmen.

Angribere kan udnytte sårbarheden til at afvikle programkode. Don Bailey, der har opdaget sårbarheden, har endnu ikke udsendt nærmere detaljer om, hvordan det er muligt. Det sker først, når brugerne har haft lejlighed til at opdatere deres systemer.

Anbefaling
Opdater sårbare programmer til nyeste version.

Links