圧縮アルゴリズム「LZO」に脆弱性、20年前から存在

[鈴木聖子，ITmedia]

　高速性を特徴とする圧縮アルゴリズム「LZO」に脆弱性が見つかり、問題を修正した更新版の「LZO 2.07」が6月25日にリリースされた。

　LZOはオーストリアのMarkus Oberhumer氏が20年前に開発した圧縮アルゴリズムで、Linuxや一部のAndroid携帯などのほか、米航空宇宙局（NASA）の火星探査機「キュリオシティ」にも採用されている。セキュリティ企業Lab Mouse Securityによると、この脆弱性は、1994年から繰り返し再利用され続けてきたコードに存在していたという。

　Oberhumer氏が6月25日にWebサイトに掲載した情報によれば、今回見つかった脆弱性では、細工を施した圧縮データの処理に際してバッファオーバーランを引き起こし、整数オーバーフロー状態に陥る恐れがある。

　ただ、影響を受けるのは32ビットのシステムのみで、16メビバイト（MiB）という異常に膨大な量の情報を1回の関数呼び出しで解凍する場合にのみ問題が起きるという。

　従って現実的な影響は限定的とされ、「実際に影響を受けるクライアントプログラムは何ら把握していない」とOberhumer氏は説明する。Linuxカーネルは影響を受けないと強調している。