Passer au contenu

Mise à jour : pas de faille de sécurité pour les lecteurs multimédia VLC et MPlayer

Fausse alerte : la faille critique dans le code des lecteurs multimédia VLC et MPlayer n’en n’était pas une. On respire.

Article mis à jour le 22/10/2018 à 17h02

L’information que nous avons publié ce matin était fondée sur une note de blog apparemment erronée : il s’avère que VLC et MPlayer ne seraient en l’état actuel des connaissances pas vulnérables. L’auteur de LIVE555 a publié un démenti dans le forum Slashdot, et c’est un lecteur qui nous l’a signalé en commentaire ci-dessous. Selon l’auteur, VLC n’utilise pas la partie serveur de LIVE555, mais la partie client, or le bug est du côté serveur RTSP (qui supporte RTSP over HTTP).

Ci-dessous, l’article original (erroné dans sa première partie – en italiques, donc)

Les bibliothèque de ces lecteurs fonctionnent avec les protocoles RTP / RTCP, RTSP ou SIP, permettant de traiter des formats vidéo et audio tels que MPEG, H.265, H.264, H.263 +, VP8, DV, JPEG, MPEG, AAC, AMR, AC-3, et Vorbis.

Nos confrères de Hackread indiquent que la faille de sécurité a rendu des millions d’utilisateurs de lecteurs multimédias vulnérables aux cyberattaques, selon Lilith Wyatt, chercheuse au Cisco Talos Intelligence Group : “Un paquet spécialement conçu peut provoquer un débordement de tampon basé sur la pile, entraînant l’exécution du code. Un attaquant peut envoyer un paquet pour déclencher cette vulnérabilité”, explique Wyatt dans son blog.

Une faille précédente de VLC Player utilisée par… la CIA !

Ce n’est cependant pas la première fois qu’un lecteur multimédia aussi populaire que VLC fait la une des journaux pour les mauvaises raisons. On avait déjà identifié des failles de sécurité critiques dans la version 2.0.5 et les versions antérieures qui auraient pu être exploitées par des pirates pour exécuter du code malveillant sur des ordinateurs via des fichiers ASF.

De plus, les documents divulgués par WikiLeaks avaient montré comment la CIA a utilisé de faux lecteurs VLC pour voler les données d’un appareil infecté. Le document révèle également que les agents de la CIA ont utilisé un outil pour exploiter une ancienne version modifiée du lecteur multimédia VLC. L’outil décrit a rassemblé des documents à partir d’un ordinateur ou d’un réseau et, pour masquer son activité, fonctionnait dans VLC Portable 2.1.5 sur les plates-formes Microsoft Windows.

Une mise à jour a déjà été publiée pour remédier à cette vulnérabilité. Par conséquent, si vous utilisez l’un des lecteurs multimédias vulnérables, assurez-vous qu’il est mis à jour avec la dernière version.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
2 commentaires
2 commentaires
  1. Ce n’est pas parce que VLC utilise la librarie LIVE555 que VLC est affecté.
    VLC n’utilise pas la partie serveur de LIVE555, mais la partie client.
    Hors le bug est du côté serveur RTSP (qui supporte RTSP over HTTP):

    https://it.slashdot.org/comments.pl?sid=12787146&cid=57515512

    Bref, merci de vérifier vos sources avant de faire peur aux utilisateurs de VLC.
    Et si vous avez raison, tant mieux, mais dans le cas contraire, merci de corriger.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *