Uzaya kadar çıkan açık!
Bu açık 20 yıldır var; cebimizden Uzay araçlarına kadar her şeyi etkiliyor; biz onu yeni fark ettik!
20 yıldır sıklıkla kullanılan bir algoritmada ortaya çıkan açık o kadar yaygın bir halde ki, Mars'a gönderilen Curiosity aracı, arabalar, uçaklar, Android telefonlar ve pek çok açık kaynaklı donanımda karşımıza çıkıyor.
Bu açık, Markus Oberhumer tarafından yaratılan Lempel-Ziv-Oberhuman (LZO) veri sıkıştırma algoritmasında bulunuyor. İşin ilginci, ortaya çıkması için 20 yıl beklemek zorunda kalmış olmamız. Geçtiğimiz günlerde, kodun 2.07 sürümü ile bu açığın varlığı ilk ortaya çıktı.
1994 yılında yaratılan LZO algoritması, OpenVPN, FFmpeg ve Linux gibi pek çok yerde karşımıza çıkıyor. Oberhumer, algoritmadaki açığın, buffer aşırı yüklenmesi, hizmet reddi ve uzak kod çalıştırması (RCE) gibi durumları, "nadir rastlanan, 16 MiB'den (2^24 byte) daha fazla sıkıştırılmış veriyi tek bir fonksiyon çağrısı ile açmaya çalıştığınızda" tetikleyebileceğini söylüyor.
Bu durumun en büyük etkisi ise, FFmpeg, Libav ve VLC Media Player ile Handbrake gibi sevilen pek çok medya platformunda yaşanacak. Bu sorun, aynı zamanda pek çok ürün ve arabalar gibi bazı makinelerin Linux ile çalışan mikro kontrol parçalarında da ortaya çıkabiliyor. Neyse ki bu gibi durumlarda fiziksel olarak sorun yaşatacak bir sorunun olması beklenmiyor.
Security Mouse araştırmacısı Don Bailey'ye göre, bu fark ediş genel bir korku dalgasından ziyade, dikkat gerektiren bir durum. Bailey, blogunda yaptığı açıklamada, açığın yaratabileceği etkinin, tamamen LZO'nun nasıl kullanıldığına bağlı olduğunu söylüyor.