VLC : la « faille critique » annoncée en début de semaine n’existe pas !

Les développeurs de VLC ne sont pas parvenus à reproduire la faille critique CVE-2019-13615 dans VLC 3.0.7.1 pourtant annoncée en début de semaine par CERT-Bund. Les développeurs de VideoLAN critiquent au passage dans une série de tweets les pratiques de la MITRE Corporation et de sa base de données CVE, à l’origine de l’alerte. Ils n’auraient ni vérifié leur rapport avant de le publier, ni contacté au préalable VLC. 

vlc

Nous vous le rapportions comme de nombreux sites en début de semaine : une faille critique toucherait (à l’aune de ces nouvelles infos le conditionnel est de rigueur) VLC. Faille qui aurait atteint une note de 9,8/10, renforçant sa gravité. La source, CERT-Bund (une agence gouvernementale allemande) ainsi que l’entrée dans la base de données CVE, semblaient donner tous les gages de sérieux. Mais à en croire les responsables de VideoLAN ce signalement a tous les traits… d’une fausse alerte.

La faille critique dans VLC n’a pas pu être reproduite

Dans une série de tweets, ils expliquent d’abord ne pas être parvenus à reproduire le bug, et interrogent au passage les méthodes de cette base de données américaine gérée par MITRE Corportation et dont le sérieux est rarement remis en cause. La base de données CVE permet normalement d’identifier une vulnérabilité dès sa découverte sous un identifiant unique, afin de faciliter les travaux ultérieurs pour la corriger. L’équipe de VideoLAN, se demande néanmoins si le sérieux était à la hauteur des standards habituels lors de cette alerte.

Ils lancent ainsi dans une première adresse, en citant le tweet de CVE  : « Avez-vous seulement daigné vérifier cela ? Personne ne peut reproduire ce problème ici ». Dans le trackeur du bug sur le site de VideoLAN, un échange entre Jean-Baptiste Kempf, le président de l’association, et l’un de ses développeurs François Cartenie, enfonce le clou : « Désolé mais ce bug ne peut pas être reproduit et ne provoque aucun crash de VLC », commente le premier.

Et François Cartenie d’ajouter : « Si vous arrivez sur ce ticket au travers d’un article affirmant la présence d’une faille critique dans VLC, je vous suggère de lire le commentaire plus haut d’abord et de reconsidérer vos sources de (fake) news ». Plus tard, Jean-Baptiste Kempf confirme que le bug ne touche pas, spécifiquement, la version 4.0.7.1 de VLC.

VideoLAN est très remonté contre MITRE et CVE

Dans un autre tweet, VideoLAN reproche à MITRE Corporation et à CVE de ne jamais approcher l’association avant de publier des alertes de failles de sécurité. Et d’ajouter : « vous pourriez au moins vérifier vos infos ou regarder ce qui ne va pas chez vous avant d’envoyer une vulnérabilité CVSS 9.8 [sur 10, ndlr] au public ». On sent que les responsables de l’association sont très remontés – et on les comprend. Une alerte de ce type peut conduire à des désinstallations massives.

Lire également : Facebook Messenger Kids – une faille laisse les enfants parler avec des contacts non autorisés

En lisant les messages les plus récents sur le trackeur, deux développeurs évoquent encore des crashes dans certaines conditions très particulières sur Windows et une fuite de mémoire limitée. Des problèmes qui seront corrigés dans une mise à jour – mais qui ne semblent pas justifier, à ce stade, de panique.

Source : VideoLAN



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
Slack porte plainte contre Microsoft pour concurrence déloyale

Slack vient de déposer plainte devant la Commission Européenne contre Microsoft. La société reproche en effet ses pratiques anti-concurrentielles dans le domaine des messageries en ligne. Ici, c’est bien évidemment Teams, intégré à Office 365, qui est visé. Slack est…

Firefox permet enfin d’exporter les mots de passe, voici comment

Mozilla vient d’ajouter à Firefox une option des plus intéressantes : elle permet d’exporter vos mots de passe et identifiants dans un fichier CSV, afin de les mettre à l’abri. De quoi sauvegarder tous vos mots de passe,  sans nécessairement…

Les meilleures messageries mail gratuites

Ce ne sont pas les messageries qui manquent sur internet. De nombreux services gratuits existent pour répondre à la demande des utilisateurs, que ce soit pour une utilisation personnelle ou professionnelle. On vous aide à vous y retrouver. L’offre en…

Microsoft veut imposer son moteur de recherche Bing dans Chrome

Microsoft va forcer les utilisateurs d’Office 365 ProPlus à changer de moteur de recherche. Sous Chrome, le moteur de Google laissera place à celui développé par l’entreprise de Redmond : Bing. Très prochainement, l’outil d’installation d’Office 365 ProPlus va changer….

Microsoft Edge : dites-lui adieu et dites bonjour à Chromium Edge

Tout comme Windows 7, qui vient de nous faire ses adieux puisque Microsoft a décidé de ne plus le prendre en charge, le navigateur Microsoft Edge nous quitte aujourd’hui. Il y a quelques mois déjà, l’éditeur de Redmond l’avait annoncé….