VLC Media Player a une faille de sécurité majeure - mais pas sur MacOS

Mise à jour: VideoLAN a refusé que son lecteur multimédia VLC ait le problème de sécurité signalé. VideoLAN tweeté: «VLC n'est pas vulnérable… le problème se trouve dans une bibliothèque tierce, appelée libeml, qui a été corrigée il y a plus de 16 mois. VLC depuis la version 3.0.3 a la bonne version livrée ».

Le président de VideoLAN et développeur principal du lecteur multimédia VLC Jean-Baptiste Kempf a fourni ce commentaire à Trusted Reviews: "Le problème se trouve dans une autre bibliothèque, et le problème a été résolu plus de 14 mois depuis. Toutes les versions binaires de VLC distribuées par VideoLAN depuis la version 3.0.3 sont sûres pour ce problème ».

L'article original suit

Le populaire lecteur multimédia VLC présente une faille de sécurité critique et n'a pas encore été corrigé. Un correctif est actuellement en cours d'élaboration par la société mère de VLC, VideoLAN. Un avis d'alerte de sécurité a été émis pour la vulnérabilité par l'agence allemande de cybersécurité CERT-Bund.

La dernière version du lecteur multimédia VLC (3.0.7.1) comprend actuellement une faille de sécurité qui pourrait permettre à un pirate distant pour exécuter du code, provoquer une condition de déni de service, exfiltrer des informations et manipuler des fichiers sur la machine d'un utilisateur.

En rapport: Meilleur antivirus gratuit

Selon ESET, la faille de corruption de la mémoire peut également être présente dans une version antérieure du lecteur multimédia VLC. Le problème affecte les utilisateurs du programme sous Windows, Linux et Unix - les utilisateurs de MacOS ont esquivé le problème.

Le bogue ne nécessite pas d'interaction de la part de l'utilisateur ni d'élever ses privilèges pour être exploité, ce qui le rend particulièrement dangereux. Heureusement, il n'y a pas encore de cas signalés de vulnérabilité de sécurité exploitée.

En l'absence de correctif, le seul moyen d'éviter le problème pour le moment est d'éviter d'utiliser le lecteur multimédia VLC.

La vulnérabilité de la sécurité est considérée très sérieusement. La base de données nationale sur les vulnérabilités du NIST (NVD) a déclaré que la faille était critique et est classée 9,8 sur 10 sur l'échelle de score de vulnérabilité commune (CVSS).

En rapport: Meilleurs VPN

Le NVD est une base de données de vulnérabilités du gouvernement américain tandis que le CVSS est une norme utilisée pour fournir une indication numérique de la gravité des bogues.

VideoLan n'a pas encore révélé de date pour la mise en œuvre d'un correctif. Cependant, le problème est répertorié sur le site traqueur de bogues comme une priorité critique - avec l'ouverture de la liste il y a quatre semaines et à 60% d'achèvement.

Une publication allemande nommée Heise en ligne a signalé qu'un fichier .mp4 spécifique peut être requis pour que l'exploit se produise. Cependant, les chercheurs en sécurité ou les découvreurs originaux du bogue CERT-Bund n'ont pas confirmé que c'était le cas.