Une faille critique détectée dans VLC Media Player

Christelle Perret
Publié le 22 juillet 2019 à 11h18
VLC Logo

Une agence de cybersécurité allemande a publié un avertissement concernant VLC Media Player, le lecteur multimédia open source téléchargé plus de trois milliards de fois. La version 3.0.7.1 du logiciel dispose d'une faille de sécurité critique, classée comme élevée (niveau 4 sur 5). Elle permet notamment d'exécuter du code à distance, sans se faire remarquer.

Même si elle proposait des améliorations pour 4K et 8K, HDR et vidéos 360, la version VLC 3.0.7 sortie au mois de juin était avant tout une mise à jour de sécurité. Toutefois, cette nouvelle version contient également une faille critique.

VLC 3.0.7.1 gangrené par une faille critique de sécurité

CERT-Bund (Computer Emergency Response Team) est une agence de cybersécurité allemande. Il s'agit de l'organisme qui pilote les mesures préventives et réactives en cas d'incidents informatiques liés à la sécurité.

Samedi 20 juillet, alors que nous célébrions les 50 ans du premier pas sur la Lune, l'agence a publié un avertissement concernant le logiciel open source VLC Media Player 3.0.7.1 pour Linux, UNIX et Windows.

Un signalement douloureux pour VLC dont la version 3.0.6 (et celles antérieures) avait été épinglée en juin pour être sensible aux logiciels malveillants infiltrés.

Alors que le lecteur multimédia hautement compatible a été téléchargé plus de 3 milliards de fois, la nouvelle vulnérabilité détectée par CERT-Bund est d'autant plus dangereuse.

Le lecteur multimédia présente un risque élevé

Décrite « CVE-2019-13615 », le risque lié à cette faille a été classé comme « élevé », au niveau 4 sur l'échelle de dangerosité à cinq niveaux établie par le CERT.

Cette faille permet notamment à un attaquant d'exécuter du code à distance, anonymement et en toute discrétion. Il peut ainsi interrompre des services, modifier des fichiers sans autorisation ou encore divulguer des informations.

VLC est actuellement est train de développer un correctif, terminé à 60 %. Pour l'instant, aucune date de sortie n'a été annoncée pour ce patch. Néanmoins, le CERT-Bund se veut rassurant : contrairement à la faille du mois de juin, celle-ci ne semble pas avoir été exploitée par des attaquants.

Quoi qu'il en soit, l'agence allemande recommande d'éviter le logiciel tant qu'aucun correctif n'aura été apporté à VLC Media Player.

Source : Neowin
Christelle Perret
XLinkedIn
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
K4minoU

Ou ceux qui l’ont exploité sont assez intelligents pour ne pas le dire et/ou laisser des traces…

https://nvd.nist.gov/vuln/detail/CVE-2019-13615 => pour les détails

Marrant, les années passent et les mêmes erreurs se répètent, mes prof m’ont tellement rabaché la tête et les oreilles sur les buff overflow et les failles qui en résultent (ainsi que les pointeurs et les effets de bord des boucles)

C’est principalement ça qui conduisent aux erreurs de type overflow

Ah oui, j’oubliais le plus important, les fork… (pour les loulous qui sont encore étudiants, si vous ne voulez pas bosser un jour, faites un fork récursif lol, ça plombe le serveur de l’école en une demie seconde ha ha que de souvenirs =P)

LeGrosWinnie

Bah, K-Lite Codec Pack chez moi…
Vive MPC-HD.

Prune

Ah les fork bomb… https://en.wikipedia.org/wiki/Fork_bomb

On rappellera aux “loulou” que c’est une attaque par déni de service et que c’est du pénal. Je crois que conseiller de faire ça c’est également répréhensible.

K4minoU

lol faut rigoler, dans le cadre d’un TD, on compile et lance du code, c’est aux administrateurs de faire ce qu’il faut pour mettre à dispo un bac à sable pour nos travaux…

LedragonNantais

clairement. Ça fait des années que je l’utilise, et c’est bien plus pointu que la “solution de facilité” qu’est VLC ^^

DETOMINE

Vu l’âge du code de MPC-HD, je pense qu’au audit ne donnerait pas forcément de meilleurs résultats…

Feunoir

la faille 13602 me semble pire que cette 13615 car elle touche les .mp4 (je dois avoir qu’une poignée de mkv)
mais bon j’ai pas de plugin VLC sur mon navigateur et je telecharge quasi plus pour les lire en offline donc je ne me sens pas trop concerné par ces failles
par contre vlc me sert encore pour ecouter pulsradio en streaming, mais cela n’a pas l’air d’être un vecteur viable pour ces failles

Blap

Pas besoin de codec pack avec MPC HC, ca fait plus de 10 ans qu’on n’utilise plus de codecs packs.

Blap

VLC date de 1996, MPC 2003 et a eu sa derniere release le 17 juillet dernier, donc je vois pas trop la difference.

DETOMINE

Sauf erreur de ma part, MPC(-HC) n’a jamais fait l’objet d’un audit poussé (et la dernière màj date de 2017).
VLC est en revanche (j’ai l’impression) plutôt bien suivi et activement mis à jour (et est audité régulièrement).
Donc il faut se méfier, le code de MPC n’est pas forcément sûr.

Dernières actualités
Microsoft arrête une fonction qu'on n'a jamais pu utiliser en France
Papiers, s'il vous plaît ! La CNIL va s'intéresser de près aux règles de confidentialité de DeepSeek
"Nous ne pensions pas que c'était un réseau social" : Mark Zuckerberg dévoile pourquoi Meta a tardé à contrer TikTok
Google Maps : le Mexique désapprouve le nouveau golfe de l'Amérique
Des scientifiques veulent faire ressentir de la douleur à l'IA. Mauvaise ou très mauvaise idée ?
ChatGPT, MidJourney et Meta réunis à prix cassé : l’offre immanquable 1minAI
Retour sur la Lune : comment produire l'oxygène indispensable sur place ?
Deadpool & Wolverine : le nouveau film Marvel arrive sur Disney+ à moins de 2€ !
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles