Alerte à la faille de sécurité sur le lecteur multimédia VLC

0
98

Des chercheurs en cybersécurité allemands du CERT-Bund (centre de réponse aux cyberattaques du gouvernement allemand) ont alerté sur lé découverte d’une vulnérabilité critique touchant le lecteur multimédia VLC.

La faille en question est identifiée sous la référence « CVE-2019-13615 » a été classée niveau 4 sur, soit un niveau de risque élevé sur l’échelle du CERT. Elle est d’autant plus critique que VLC Media Player est le lecteur multimédia le plus utilisé au monde, avec un compteur dépassant les 3 milliards de téléchargements depuis sa création. Le logiciel est édité par l’association VideoLAN.

La vulnérabilité concerne la version 3.0.7.1 du logiciel installé sur les systèmes d’exploitation Linux, Windows et UNIX et permet l’exécution de code arbitraire à distance sans se faire repérer (dès lors, tout est possible techniquement pour un attaquant). Côté technique, la faille résulte d’un buffer-overflow :

“VideoLAN VLC media player 3.0.7.1 has a heap-based buffer over-read in mkv::demux_sys_t::FreeUnused() in modules/demux/mkv/demux.cpp when called from mkv::Open in modules/demux/mkv/mkv.cpp.”

Les équipes de VLC ont bien entendu été prévenues et travaillent d’ors-et-déjà à la résoudre via un patch correctif.

Un attaquant distant et anonyme peut exploiter une vulnérabilité dans VLC pour exécuter du code arbitraire, créer un état de déni de service, divulguer des informations ou manipuler des fichiers“, avertit l’agence de sécurité allemande.

Point positif, d’après le CERT-Bund, la vulnérabilité n’a pas été exploitée à ce jour par des cybercriminels. Il est néanmoins conseillé de se passer du très populaire VLC jusqu’à application du futur patch correctif.

Rappelons qu’au mois de juin, VLC 3.0.6 avait lui aussi été victime d’une importante faille de sécurité, corrigée depuis…