crédit photo © Pavel Ignatov - shutterstock
L’algorithme de Lempel-Ziv-Oberhumer (LZO) ne vous dit peut-être rien et pourtant il vient de battre un record en matière de sécurité informatique. En effet, ce système de compression de flux de données créé en 1994 par Markus Oberhumer pour la NASA et notamment les modules martiens (dont Curiosity), comprenait dès son origine une vulnérabilité qui vient d’être corrigée. Après 20 ans d’existence.
Cet algorithme a subi plusieurs transformations au cours de ces années avec plusieurs déclinaisons, au point qu’il était très difficile à corriger. Il aura donc fallu attendre la version 2.07 de LZO pour patcher ce « vieux problème » qui autorisait une saturation de la mémoire tampon en jouant sur certaines variantes dites « sécurisées » du système de décompression avec des données malveillantes.
Dans un blog, Don Bailey, CEO et co-fondateur de Lab Mouse Security, a donné un peu plus de détails sur ce vénérable bug. « En réutilisant le code qui est connu pour bien fonctionner, surtout les algorithmes hautement optimisés, les projets peuvent être vulnérables car la confiance dans ce code n’est pas remise en cause », affirme le consultant. Ce dernier a l’habitude de travailler sur la sécurité des technologies mobiles, l’Internet des objets et les systèmes embarqués. Il précise que « les implémentations de LZO peuvent être sensiblement différents, mais chaque variante est vulnérable de la même façon ». Il demande donc aux utilisateurs d’évaluer leurs algorithmes pour savoir s’ils sont corrigés. Pour cela, il donne différentes méthodes aux administrateurs pour savoir si leurs infrastructures est vulnérable à la faille et ensuite comment la corriger.
Il est à noter que LZO est une bibliothèque de compression qui a trouvé sa place dans bon nombre de projets IT. On peut citer notamment Android, OpenVPN, MPlayer2, Libav, le kernel Linux, mais également Junos de Juniper, etc.
crédit photo © Pavel Ignatov – shutterstock
A lire aussi :
Une faille de sécurité vieille de 5 ans corrigée dans le noyau Linux
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…