LZO es un algoritmo de compresión de datos utilizado ampliamente por todos los sistemas operativos como Windows, Linux y Mac OS X, además también está presente en sistema operativos para dispositivos móviles como Android o iOS. LZO también es una parte fundamental de los firmwares de los routers y de servicios tan populares como OpenVPN.
El autor de LZO es Markus Oberhumer, y esta semana ha lanzado una actualización importante. La última versión es la LZO 2.08 y ha corregido un importante error que permitiría un desbordamiento de buffer si se trata de procesar datos que han sido comprimidos de forma malintencionada. Este fallo de seguridad está registrado con el CVE 2014-4607 y se recomienda actualizar inmediatamente para no exponer ningún dispositivo.
Este fallo únicamente afecta a sistemas operativos de 32 bits, y solo ocurre cuando se intenta descomprimir más de 16MiB de datos que no son de confianza con una única llamada a la función. Según el autor, este error solo ocurre bajo ciertas circunstancias por lo que las implicaciones de este fallo están muy limitadas, ya que no conoce ningún programa que use un tamaño de bloque tan elevado.
Por último, en la página web oficial del proyecto LZO ha comentado que el Kernel de Linux no está afectado por este fallo.