日前，研究人员在Linux内核、几个开源库和一些三星Android移动设备中使用的流行压缩算法中发现了一个20年之久的漏洞。发现这个漏洞的研究人员表示，这个漏洞可能会影响一些汽车和飞机系统，以及其他运行嵌入式开源软件的消费级电子设备。

 

在过去几天，我们已经看到了针对Linux内核以及各种开源媒体库的整数溢出漏洞的修复，这个漏洞允许攻击者通过拒绝服务攻击和远程代码执行来攻击运行所谓的Lempel-Ziv-Oberhumer(LZO)代码的系统。LZO处理嵌入式系统中IP网络流量和文件(通常是图像)的压缩和解压缩。

发现这个漏洞同时手动审计改代码的Lab Mouse Security公司移动和嵌入式系统安全专家Don Bailey表示：“最普遍的使用是在图像数据中，解压缩拍摄的图片，以及从照相机或视频流获取的原始图像。”

Bailey表示，这个漏洞最棘手的部分在于这可能影响广泛使用该算法的消费级产品：这取决于产品使用的规格版本，以及算法是如何部署在系统中的，所有目前我们并不清楚有多少消费级产品正处于危险之中。

他表示，有几个关键产品中部署了LZO，包括OpenVPN、三星Android设备、Apache Hadoop、瞻博网络Junos Ipsec、mplayer2、gstreamer和Illumos/Solaris BSD ZFS(Iz4)，但目前还不清楚这些软件程序中的LZO部署是否容易受到攻击。他表示：“最有可能的情况是，它们可能都会受到DoS的影响。”

是否会受到影响完全取决于该算法的部署情况，以及底层架构和应用程序的内存布局。因此，所有LZO都应该对该漏洞的风险进行评估，并且进行修复。

(责任编辑：)