Journal 2 vulnérabilités découvertes dans LZ0 et LZ4

Posté par  (site web personnel) . Licence CC By‑SA.
21
30
juin
2014

Les vulnérabilités découvertes pour LZ0 et pour LZ4 viennent d'un code datant de 1999.

En résumé, elles provoquent un dépassement du tas d'entier non-signé, ce qui conduit à une corruption locale de la mémoire.

Ce bogue n'est pas super pratique à utiliser, car il faut lancer la fonction incriminée avec assez de données pour dépasser la limite d'un entier non signé, ce qui dépend donc de l'architecture.

En pratique, cela signifie qu'une architecture 64 bits est plutôt à l'abri.

Le (…)