VLC : nouvelle faille de sécurité critique, que faire pour se protéger ?

VLC Media Player 3.0.71 est victime d'une nouvelle faille de sécurité critique. Celle-ci permet à des personnes mal-intentionnées d'exécuter du code arbitraire à distance, ce qui peut leur permettre, potentiellement, de prendre le contrôle de n'importe quel PC à distance exécutant cette version du programme. Les développeurs de VLC sont en train de préparer un correctif. En attendant il est déconseillé d'utiliser VLC 3.0.7.1.

Les chercheurs en cybersécurité de l'agence gouvernementale allemande CERT-Bund lance une alerte suite à la découverte d'une faille de sécurité critique dans VLC 3.0.7.1. La faille de niveau 4/5, enregistrée sous la nomenclature CVE-2019-13615, est considérée comme particulièrement grave, d'autant que VLC fait partie des applications les plus téléchargées dans le monde. Du moment où cette version de VLC est installée, un attaquant peut provoquer l'exécution de code arbitraire à distance, exfiltrer des données et modifier des fichiers – en plus de perturber le fonctionnement normal de la machine que ce soit sous Windows 10, macOS ou Linux.

VLC Media Player : nouvelle faille critique

En juin une faille semblable permettant d'injecter du code avait été découverte dans la version 3.0.6, corrigée dans la version 3.0.7. La version 3.0.7.1 devait apporter des correctifs de sécurité – avant que ce problème ne soit détecté. VLC assure que dans les deux cas, en juin, ou désormais maintenant avec CVE-2019-13615, aucune de ces failles n'est activement exploitée par les pirates. L'exploiter suppose une attaque en réseau, reposant sur l'ouverture d'un fichier vidéo distant .mp4 modifié. Selon le tracker disponible sur le site officiel de VLC le développement d'un correctif est déjà en cours, mais n'est complété qu'à hauteur de 60%.

Si vous êtes sous cette version vous êtes donc potentiellement vulnérable à ce type d'attaque. Comment se protéger ? Les documents que nous avons pu consulter sur le fonctionnement de cet exploit suggèrent que plusieurs conditions doivent être remplies pour qu'une attaque soit couronnée de succès. Il faut que l'utilisateur soit connecté à internet et ouvre un fichier .mp4 ou .mkv distant ou appelant des ressources distantes dans cette version de VLC. En attendant la publication d'un correctif, il est donc préférable de se méfier de ce type de fichier – et si nécessaire de les ouvrir avec un autre programme comme KMPlayer ou Kodi.

Il est également possible de bloquer les accès réseau de VLC avec des programmes comme Little Snitch (macOS) ou le firewall de votre antivirus.

Source : Winfuture.de