VLC : la “faille critique” annoncée en début de semaine n’existe pas !

Les développeurs de VLC ne sont pas parvenus à reproduire la faille critique CVE-2019-13615 dans VLC 3.0.7.1 pourtant annoncée en début de semaine par CERT-Bund. Les développeurs de VideoLAN critiquent au passage dans une série de tweets les pratiques de la MITRE Corporation et de sa base de données CVE, à l'origine de l'alerte. Ils n'auraient ni vérifié leur rapport avant de le publier, ni contacté au préalable VLC. 

Nous vous le rapportions comme de nombreux sites en début de semaine : une faille critique toucherait (à l'aune de ces nouvelles infos le conditionnel est de rigueur) VLC. Faille qui aurait atteint une note de 9,8/10, renforçant sa gravité. La source, CERT-Bund (une agence gouvernementale allemande) ainsi que l'entrée dans la base de données CVE, semblaient donner tous les gages de sérieux. Mais à en croire les responsables de VideoLAN ce signalement a tous les traits… d'une fausse alerte.

La faille critique dans VLC n'a pas pu être reproduite

Dans une série de tweets, ils expliquent d'abord ne pas être parvenus à reproduire le bug, et interrogent au passage les méthodes de cette base de données américaine gérée par MITRE Corportation et dont le sérieux est rarement remis en cause. La base de données CVE permet normalement d'identifier une vulnérabilité dès sa découverte sous un identifiant unique, afin de faciliter les travaux ultérieurs pour la corriger. L'équipe de VideoLAN, se demande néanmoins si le sérieux était à la hauteur des standards habituels lors de cette alerte.

Ils lancent ainsi dans une première adresse, en citant le tweet de CVE  : “Avez-vous seulement daigné vérifier cela ? Personne ne peut reproduire ce problème ici”. Dans le trackeur du bug sur le site de VideoLAN, un échange entre Jean-Baptiste Kempf, le président de l'association, et l'un de ses développeurs François Cartenie, enfonce le clou : “Désolé mais ce bug ne peut pas être reproduit et ne provoque aucun crash de VLC”, commente le premier.

Et François Cartenie d'ajouter : “Si vous arrivez sur ce ticket au travers d'un article affirmant la présence d'une faille critique dans VLC, je vous suggère de lire le commentaire plus haut d'abord et de reconsidérer vos sources de (fake) news”. Plus tard, Jean-Baptiste Kempf confirme que le bug ne touche pas, spécifiquement, la version 4.0.7.1 de VLC.

VideoLAN est très remonté contre MITRE et CVE

Dans un autre tweet, VideoLAN reproche à MITRE Corporation et à CVE de ne jamais approcher l'association avant de publier des alertes de failles de sécurité. Et d'ajouter : “vous pourriez au moins vérifier vos infos ou regarder ce qui ne va pas chez vous avant d'envoyer une vulnérabilité CVSS 9.8 [sur 10, ndlr] au public”. On sent que les responsables de l'association sont très remontés – et on les comprend. Une alerte de ce type peut conduire à des désinstallations massives.

Lire également : Facebook Messenger Kids – une faille laisse les enfants parler avec des contacts non autorisés

En lisant les messages les plus récents sur le trackeur, deux développeurs évoquent encore des crashes dans certaines conditions très particulières sur Windows et une fuite de mémoire limitée. Des problèmes qui seront corrigés dans une mise à jour – mais qui ne semblent pas justifier, à ce stade, de panique.

Source : VideoLAN