Commentaires : Une faille critique détectée dans VLC Media Player

Une agence de cybersécurité allemande a publié un avertissement concernant , le lecteur multimédia open source téléchargé plus de trois milliards de fois. La version 3.0.7.1 du logiciel dispose d’une faille de sécurité critique, classée comme élevée (niveau 4 sur 5). Elle permet notamment d’exécuter du code à distance, sans se faire remarquer.

Ou ceux qui l’ont exploité sont assez intelligents pour ne pas le dire et/ou laisser des traces…

https://nvd.nist.gov/vuln/detail/CVE-2019-13615 => pour les détails

Marrant, les années passent et les mêmes erreurs se répètent, mes prof m’ont tellement rabaché la tête et les oreilles sur les buff overflow et les failles qui en résultent (ainsi que les pointeurs et les effets de bord des boucles)

C’est principalement ça qui conduisent aux erreurs de type overflow

Ah oui, j’oubliais le plus important, les fork… (pour les loulous qui sont encore étudiants, si vous ne voulez pas bosser un jour, faites un fork récursif lol, ça plombe le serveur de l’école en une demie seconde ha ha que de souvenirs =P)

Bah, K-Lite Codec Pack chez moi…
Vive MPC-HD.

1 J'aime

Ah les fork bomb… https://en.wikipedia.org/wiki/Fork_bomb

On rappellera aux “loulou” que c’est une attaque par déni de service et que c’est du pénal. Je crois que conseiller de faire ça c’est également répréhensible.

3 J'aime

lol faut rigoler, dans le cadre d’un TD, on compile et lance du code, c’est aux administrateurs de faire ce qu’il faut pour mettre à dispo un bac à sable pour nos travaux…

2 J'aime

clairement. Ça fait des années que je l’utilise, et c’est bien plus pointu que la “solution de facilité” qu’est VLC ^^

Vu l’âge du code de MPC-HD, je pense qu’au audit ne donnerait pas forcément de meilleurs résultats…

la faille 13602 me semble pire que cette 13615 car elle touche les .mp4 (je dois avoir qu’une poignée de mkv)
mais bon j’ai pas de plugin VLC sur mon navigateur et je telecharge quasi plus pour les lire en offline donc je ne me sens pas trop concerné par ces failles
par contre vlc me sert encore pour ecouter pulsradio en streaming, mais cela n’a pas l’air d’être un vecteur viable pour ces failles

Pas besoin de codec pack avec MPC HC, ca fait plus de 10 ans qu’on n’utilise plus de codecs packs.

VLC date de 1996, MPC 2003 et a eu sa derniere release le 17 juillet dernier, donc je vois pas trop la difference.

Sauf erreur de ma part, MPC(-HC) n’a jamais fait l’objet d’un audit poussé (et la dernière màj date de 2017).
VLC est en revanche (j’ai l’impression) plutôt bien suivi et activement mis à jour (et est audité régulièrement).
Donc il faut se méfier, le code de MPC n’est pas forcément sûr.

2 J'aime

Heu, encore faut il trouver des “écoles” qui te font bosser sur un serveur centralisé, ça devient de plus en plus rare au profit de postes sous Linux (ou autre) pour chaque “étudiant”.

De plus, la prévention d’une “fork bomb” est plutôt aisée en limitant le nombre de processus alloué pour chaque utilisateur, à charge de l’administrateur système de faire son job :wink:

oui lol

surtout qu’avec les récursifs, si on gère pas les breaks… voilà quoi =D

ça nous a bien fait marré en tous les cas ; 2h de TD tombées à l’eau, on était tous sorti griller une clope et à se raconter notre vie ha ha c’était vraiment épique… :joy::joy::joy:

Ce sont des problèmes que les programmeurs connaissent depuis des décennies.

Et les solutions aussi. Sauf qu’elles ont toutes des inconvénients.

Sachant que même le meilleur programmeur du monde reste un humain imparfait. Il est illusoire de croire qu’il existera un jour un code sans failles.

Au passage, pour ceux qui pensent qu’un langage qui impose le bound checking et proscrit l’usage direct des pointeurs est une solution miracle contre les failles, je leur rappellerais toutes les conneries qu’un débutant peut faire en PHP.

Oui bon, personne n’est parfait … Qu’on nous donne un 3.0.7.2 ou 3.0.8 et puis c’est tout …
Moi j’utilise ci, moi j’utilise ça, blablabla, ça me rappelle les discussions de gosses qui passent leur temps à dire que leur truc c’est mieux que tout le reste. :smiley:

La derniere release date du 17 juillet 2019

Il y a aussi MPC-BE.
Le fait de faire appel a d’autres librairies opensource et maintenues aide aussi.

C’est un fork non? La page officielle n’indique que la version 1.7.13?

Bon sang relisez-vous avant de publier un article ou bien est-ce la mode chez “club hik”… Je n’ai pas lu le reste “du texte” qui doit être pire “que ce que l’auteur à déjà écrit précédemment” !!!

Yep tout comme MPC HC et MPC-BE, c’est la que les nouvelles et futures releases de MPC HC sont.

Euh c’est quoi “le reste” ?
Et il “dois être pire” que quoi ???