Le lecteur multimédia VLC est-il vulnérable aux pirates ?

Le lecteur multimédia VLC a un « problème de sécurité critique », VideoLAN dit que la faille de sécurité est corrigée

Le lecteur multimédia VLC, un lecteur multimédia multiplateforme populaire, a une vulnérabilité critique qui permet aux pirates de prendre le contrôle de vos ordinateurs et de voir vos fichiers, a déclaré un chercheur en sécurité.

Connexe - 5 Meilleures alternatives au lecteur multimédia VLC

La faille de sécurité CVE-2019-13615 qualifiée de « critique » a été identifiée par l’équipe nationale allemande de réponse aux urgences informatiques (CERT Bund). La vulnérabilité affecte la version 3.0.7.1 dans les versions Linux, UNIX et Windows du lecteur multimédia VLC, selon le chercheur.

La vulnérabilité permet l’exécution de code à distance (RCE) qui permet potentiellement aux pirates d’installer, d’exécuter et d’exécuter du code malveillant ou de modifier des fichiers/données sur des machines cibles sans le consentement de l’utilisateur. Elle pourrait également être utilisée pour divulguer des fichiers sur le système hôte.

La faille nécessiterait apparemment que l’utilisateur lise un fichier vidéo MKV malveillant, qui est ensuite censé faire planter et compromettre le lecteur VLC. CERT-Bund a donné un score de vulnérabilité de base de 9,8 sur 10 dans la base de données nationale des vulnérabilités du NIST.

Selon le développeur principal de VLC, Jean-Baptiste Kempf, le bug est ouvert sur le site Web de VideoLAN depuis quatre semaines. Cependant, le problème n’est pas reproductible et ne fait pas planter une version normale de VLC 3.0.7.1, a ajouté Kempf.

Francois Cartegnie de VideoLAN avertit :

Si vous arrivez sur ce ticket par le biais d’un article de presse affirmant une faille critique dans VLC, je vous suggère de lire d’abord le commentaire ci-dessus et de reconsidérer vos sources d’(fausses) nouvelles.

Le compte Twitter de l’équipe VideoLAN a également critiqué l’équipe CVE et MITRE pour avoir partagé des nouvelles de la vulnérabilité :

Hey @MITREcorp et @CVEnew, le fait que vous ne nous contactiez JAMAIS pour les vulnérabilités VLC depuis des années avant de publier n’est vraiment pas cool ; mais au moins vous pourriez vérifier vos informations ou vous vérifier avant d’envoyer 9,8 de vulnérabilité CVSS publiquement… — VideoLAN (@videolan) 23 juillet 2019

Avez-vous même vérifié cela ?
Personne ne peut reproduire ce problème ici. — VideoLAN (@videolan) 23 juillet 2019

Plus tôt ce matin, VideoLAN a pris Twitter pour clarifier que VLC n’est pas vulnérable comme l’a rapporté CERT-Bund. Selon les créateurs de VLC, le problème se trouvait dans une bibliothèque tierce appelée « libebml », qui a été corrigée il y a plus de 16 mois. Ils ont également ajouté que VLC depuis la version 3.0.3 a la version corrigée, et la revendication de MITRE était basée sur une version précédente obsolète de VLC.

À propos du « problème de sécurité » sur #VLC : VLC n’est pas vulnérable.
tl;dr : le problème se trouve dans une bibliothèque tierce, appelée libebml, qui a été corrigée il y a plus de 16 mois.
VLC depuis la version 3.0.3 a la version correcte expédiée, et @MITREcorp n’a même pas vérifié leur revendication. Fil : — VideoLAN (@videolan) 24 juillet 2019

Le problème de VLC a maintenant été rétrogradé d’un score de vulnérabilité de 9,8 à 5,5 dans la base de données nationale des vulnérabilités spécifiant que « la victime doit interagir volontairement avec le mécanisme d’attaque ». L’entrée connexe dans le système de suivi des bogues public de VideoLAN indique également que le problème est corrigé.

Réagissant aux rapports de presse affirmant que le lecteur multimédia VLC est vulnérable, Kempf a déclaré : « C’est fou. Les gens disent : ‘Vous devez désinstaller VLC’. Ce sont les mêmes personnes qui ne vérifient pas leurs faits. »

CONNEXE : 10 des meilleurs lecteurs multimédias gratuits pour Windows 10

En d’autres termes, il n’est pas nécessaire de désinstaller le lecteur multimédia VLC, car VideoLAN a déjà publié un correctif pour corriger la faille de sécurité. Cependant, il est conseillé de s’assurer que le logiciel est toujours régulièrement mis à jour. De plus, évitez de lire un fichier au format MKV non fiable sur le lecteur multimédia. La version actuelle de VLC est 3.0.7.1.