Les hackers peuvent pirater votre PC en exploitant une vulnérabilité critique dans le lecteur multimédia VLC

VideoLAN publie une mise à jour de sécurité pour le lecteur multimédia VLC vulnérable

Le lecteur multimédia VLC a été découvert avec deux failles de sécurité à haut risque sur les versions logicielles 3.0.6 et antérieures qui peuvent permettre aux attaquants de charger des fichiers vidéo spécialement conçus dans le système vulnérable pour exécuter du code arbitraire.

Pour ceux qui ne le savent pas, le lecteur multimédia VLC est l’un des meilleurs et des plus populaires lecteurs multimédias avec plus de 3 milliards de téléchargements.

C’est un logiciel gratuit, open source et portable, multiplateforme qui peut être utilisé sur Windows, macOS, Linux, ainsi que sur les plateformes mobiles Android et iOS. Quel que soit le format, le lecteur multimédia VLC peut lire presque tous les types de formats audio et vidéo que vous souhaitez.

Lisez aussi - Comment télécharger des vidéos YouTube en utilisant VLC

Symeon Paraschoudis, un chercheur de Pen Test Partners, qui a identifié la première vulnérabilité de haute gravité sous le nom de CVE-2019-12874, est un défaut de double libération MKV et réside dans la fonction ” zlib_decompress_extra() (demux/mkv/utils.cpp) ” du lecteur VideoLAN VLC.

Elle peut être déclenchée lors de l’analyse d’un fichier mkv malformé au sein du démuxeur Matroska.

La deuxième faille à haut risque, identifiée comme CVE-2019-5439 et découverte par zhangyang de Hackerone, est une vulnérabilité de débordement de tampon qui réside dans ReadFrame (demux/avi/avi.c).

Elle permet à un utilisateur distant de créer des fichiers avi ou mkv spécialement conçus qui, lorsqu’ils sont chargés par l’utilisateur cible, déclencheront un débordement de tampon dans un système ciblé.

Lisez aussi - Meilleurs lecteurs multimédias gratuits pour Windows 10

L’exécution réussie d’un fichier malformé dans le système ciblé par un tiers malveillant pourrait déclencher soit un plantage de VLC, soit une exécution de code arbitraire avec les privilèges de l’utilisateur cible.

Un attaquant potentiel peut exploiter ces vulnérabilités en trompant l’utilisateur pour qu’il ouvre explicitement un fichier vidéo MKV ou AVI malveillant spécialement conçu.

Lisez aussi - Comment télécharger des sous-titres dans le lecteur multimédia VLC

VideoLAN, une organisation à but non lucratif qui a développé VLC, a publié un avis de sécurité : “L’utilisateur doit s’abstenir d’ouvrir des fichiers provenant de tiers non fiables ou d’accéder à des sites distants non fiables (ou désactiver les plugins de navigateur VLC) jusqu’à ce que le correctif soit appliqué.”

Les utilisateurs de VLC ont été fortement recommandés de mettre à jour leur logiciel de lecteur multimédia vers VLC 3.0.7 ou des versions ultérieures pour éviter que des hackers n’exploitent cette vulnérabilité sur leurs systèmes.