Une faille critique détectée dans VLC Media Player

22 juillet 2019 à 11h18
22
VLC Logo

Une agence de cybersécurité allemande a publié un avertissement concernant VLC Media Player, le lecteur multimédia open source téléchargé plus de trois milliards de fois. La version 3.0.7.1 du logiciel dispose d'une faille de sécurité critique, classée comme élevée (niveau 4 sur 5). Elle permet notamment d'exécuter du code à distance, sans se faire remarquer.

Même si elle proposait des améliorations pour 4K et 8K, HDR et vidéos 360, la version VLC 3.0.7 sortie au mois de juin était avant tout une mise à jour de sécurité. Toutefois, cette nouvelle version contient également une faille critique.

VLC 3.0.7.1 gangrené par une faille critique de sécurité

CERT-Bund (Computer Emergency Response Team) est une agence de cybersécurité allemande. Il s'agit de l'organisme qui pilote les mesures préventives et réactives en cas d'incidents informatiques liés à la sécurité.

Samedi 20 juillet, alors que nous célébrions les 50 ans du premier pas sur la Lune, l'agence a publié un avertissement concernant le logiciel open source VLC Media Player 3.0.7.1 pour Linux, UNIX et Windows.

Un signalement douloureux pour VLC dont la version 3.0.6 (et celles antérieures) avait été épinglée en juin pour être sensible aux logiciels malveillants infiltrés.

Alors que le lecteur multimédia hautement compatible a été téléchargé plus de 3 milliards de fois, la nouvelle vulnérabilité détectée par CERT-Bund est d'autant plus dangereuse.

Le lecteur multimédia présente un risque élevé

Décrite « CVE-2019-13615 », le risque lié à cette faille a été classé comme « élevé », au niveau 4 sur l'échelle de dangerosité à cinq niveaux établie par le CERT.

Cette faille permet notamment à un attaquant d'exécuter du code à distance, anonymement et en toute discrétion. Il peut ainsi interrompre des services, modifier des fichiers sans autorisation ou encore divulguer des informations.

VLC est actuellement est train de développer un correctif, terminé à 60 %. Pour l'instant, aucune date de sortie n'a été annoncée pour ce patch. Néanmoins, le CERT-Bund se veut rassurant : contrairement à la faille du mois de juin, celle-ci ne semble pas avoir été exploitée par des attaquants.

Quoi qu'il en soit, l'agence allemande recommande d'éviter le logiciel tant qu'aucun correctif n'aura été apporté à VLC Media Player.

Source : Neowin
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (22)

K4minoU
Ou ceux qui l’ont exploité sont assez intelligents pour ne pas le dire et/ou laisser des traces…<br /> https://nvd.nist.gov/vuln/detail/CVE-2019-13615 =&gt; pour les détails<br /> Marrant, les années passent et les mêmes erreurs se répètent, mes prof m’ont tellement rabaché la tête et les oreilles sur les buff overflow et les failles qui en résultent (ainsi que les pointeurs et les effets de bord des boucles)<br /> C’est principalement ça qui conduisent aux erreurs de type overflow<br /> Ah oui, j’oubliais le plus important, les fork… (pour les loulous qui sont encore étudiants, si vous ne voulez pas bosser un jour, faites un fork récursif lol, ça plombe le serveur de l’école en une demie seconde ha ha que de souvenirs =P)
LeGrosWinnie
Bah, K-Lite Codec Pack chez moi…<br /> Vive MPC-HD.
Prune
Ah les fork bomb… https://en.wikipedia.org/wiki/Fork_bomb<br /> On rappellera aux “loulou” que c’est une attaque par déni de service et que c’est du pénal. Je crois que conseiller de faire ça c’est également répréhensible.
K4minoU
lol faut rigoler, dans le cadre d’un TD, on compile et lance du code, c’est aux administrateurs de faire ce qu’il faut pour mettre à dispo un bac à sable pour nos travaux…
LedragonNantais
clairement. Ça fait des années que je l’utilise, et c’est bien plus pointu que la “solution de facilité” qu’est VLC ^^
DETOMINE
Vu l’âge du code de MPC-HD, je pense qu’au audit ne donnerait pas forcément de meilleurs résultats…
Feunoir
la faille 13602 me semble pire que cette 13615 car elle touche les .mp4 (je dois avoir qu’une poignée de mkv)<br /> mais bon j’ai pas de plugin VLC sur mon navigateur et je telecharge quasi plus pour les lire en offline donc je ne me sens pas trop concerné par ces failles<br /> par contre vlc me sert encore pour ecouter pulsradio en streaming, mais cela n’a pas l’air d’être un vecteur viable pour ces failles
Blap
Pas besoin de codec pack avec MPC HC, ca fait plus de 10 ans qu’on n’utilise plus de codecs packs.
Blap
VLC date de 1996, MPC 2003 et a eu sa derniere release le 17 juillet dernier, donc je vois pas trop la difference.
DETOMINE
Sauf erreur de ma part, MPC(-HC) n’a jamais fait l’objet d’un audit poussé (et la dernière màj date de 2017).<br /> VLC est en revanche (j’ai l’impression) plutôt bien suivi et activement mis à jour (et est audité régulièrement).<br /> Donc il faut se méfier, le code de MPC n’est pas forcément sûr.
barjy
Heu, encore faut il trouver des “écoles” qui te font bosser sur un serveur centralisé, ça devient de plus en plus rare au profit de postes sous Linux (ou autre) pour chaque “étudiant”.<br /> De plus, la prévention d’une “fork bomb” est plutôt aisée en limitant le nombre de processus alloué pour chaque utilisateur, à charge de l’administrateur système de faire son job
K4minoU
oui lol<br /> surtout qu’avec les récursifs, si on gère pas les breaks… voilà quoi =D<br /> ça nous a bien fait marré en tous les cas ; 2h de TD tombées à l’eau, on était tous sorti griller une clope et à se raconter notre vie ha ha c’était vraiment épique…
KlingonBrain
Ce sont des problèmes que les programmeurs connaissent depuis des décennies.<br /> Et les solutions aussi. Sauf qu’elles ont toutes des inconvénients.<br /> Sachant que même le meilleur programmeur du monde reste un humain imparfait. Il est illusoire de croire qu’il existera un jour un code sans failles.<br /> Au passage, pour ceux qui pensent qu’un langage qui impose le bound checking et proscrit l’usage direct des pointeurs est une solution miracle contre les failles, je leur rappellerais toutes les conneries qu’un débutant peut faire en PHP.
Johnny6
Oui bon, personne n’est parfait … Qu’on nous donne un 3.0.7.2 ou 3.0.8 et puis c’est tout …<br /> Moi j’utilise ci, moi j’utilise ça, blablabla, ça me rappelle les discussions de gosses qui passent leur temps à dire que leur truc c’est mieux que tout le reste.
Blap
La derniere release date du 17 juillet 2019<br /> GitHub<br /> clsid2/mpc-hc<br /> Media Player Classic. Contribute to clsid2/mpc-hc development by creating an account on GitHub.<br /> Il y a aussi MPC-BE.<br /> Le fait de faire appel a d’autres librairies opensource et maintenues aide aussi.
DETOMINE
C’est un fork non? La page officielle n’indique que la version 1.7.13?
Tanja_Oli_4_Ever
Bon sang relisez-vous avant de publier un article ou bien est-ce la mode chez “club hik”… Je n’ai pas lu le reste “du texte” qui doit être pire “que ce que l’auteur à déjà écrit précédemment” !!!
Blap
Yep tout comme MPC HC et MPC-BE, c’est la que les nouvelles et futures releases de MPC HC sont.
Jacky67
Tanja_Oli_4_Ever:<br /> Bon sang relisez-vous avant de publier un article ou bien est-ce la mode chez “club hik”… Je n’ai pas lu le reste qui dois être pire !!!<br /> Euh c’est quoi “le reste” ?<br /> Et il “dois être pire” que quoi ???
Tanja_Oli_4_Ever
Cela me paraîsait logique pourtant :<br /> “le reste”<br /> =&gt; C’est “le reste” du texte de l’article.<br /> “dois être pire”<br /> =&gt; Le reste (du texte donc) “doit être pire” que les fautes d’orthographe déjà vues sur les lignes précédentes…<br /> Ça donne :<br /> Le reste du texte doit être pire que ce que l’auteur à déjà écrit précédemment !!!
K4minoU
Biensûr!<br /> Je suis complètement d’accord, je ne te contredirai pas sur ce point là<br /> C’est pour cela que lorsque j’ouvre, je ferme immédiatement avant d’écrire le code gérant la partie fonctionnelle. C’est devenu une habitude; merci à mon prof pour cette séquelle à vie <br /> Cela limite déjà pas mal la casse mais bon…
quiquelaga
Faille y a pas ! Excuses à videolan ! 01.net vous le dit !
Voir tous les messages sur le forum