VLC et MPlayer : pas de faille de sécurité finalement

Mise à jour du 22/10/2018 à 15h45:

Ross Fynalson de Live Networks a envoyé un email à nos confrères de « Hackead », la vulnérabilité «n’affecte ni VLC, ni MPlayer, car ils n’utilisent LIVE555 que pour mettre en œuvre un RTSP (protocole de streaming en temps-réel). Le bug ne concernait que notre implémentation d’un RTSP, que ces lecteurs multimédias n’utilisent pas. (VLC possède un serveur RTSP intégré, mais il utilise une implémentation distincte, pas celle de LIVE555)« .

VLC et MPlayer ont été touchés par une grave faille de sécurité. Cette dernière permet aux pirates d’installer un malware à distance. Heureusement, celle-ci est colmatée depuis. Les utilisateurs doivent veiller à bien avoir installé la dernière version de leur application favorite.

vlc mplayer faille de sécurité malware pc

Des pirates peuvent exploiter une vulnérabilité touchant les lecteurs multimédias VLC et MPlayer. La faille exploite LIVE555, un ensemble de bibliothèques C ++ open-source développé par Live Networks Inc prenant en charge notamment des formats tels que H.264, H.265, MPEG, VP8 et DV.  La faille réside dans une fonctionnalité de paquet HTTP analysant les en-têtes HTTP pour le tunneling RTSP sur HTTP.

VLC et MPlayer : les pirates peuvent envoyer des malwares à travers une faille de sécurité

Talos explique sur son site : «un paquet spécialement conçu peut provoquer un débordement de tampon basé sur une pile, entraînant l’exécution de code malveillant. Un attaquant peut envoyer un paquet afin de provoquer cette vulnérabilité». Entre temps, une mise à jour a été publiée pour protéger les utilisateurs de la faille LIVE555. Les utilisateurs sont invités à vérifier qu’ils disposent bien des dernières versions en date des lecteurs multimédias (lien vers VLC et lien vers MPlayer).

Ce n’est pas la première fois qu’un problème de sécurité de ce genre est évoqué. Des sous-titres infectés par des virus ont été signalés sur VLC et Popcorn Time par le passé. Bien que les choses soient rentrées dans l’ordre depuis, ces exemples montrent que les utilisateurs doivent redoubler de vigilance lorsqu’ils utilisent ce genre d’applications ultra-populaires. En outre, Huawei a placé VLC sur liste noire, il est devenu impossible pour les utilisateurs d’installer l’application Android sur leur smartphone. Une décision qui a provoqué la colère de l’éditeur. Utilisez-vous régulièrement VLC ? Partagez votre opinion avec la communauté dans les commentaires.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Téléchargez GHIDRA et prenez vous pour un espion de la NSA

Le logiciel GHIDRA utilisé par la NSA pour repérer et contrer des programmes malveillants est désormais disponible gratuitement pour tous. Open-source, il peut même être amélioré par la communauté.  Comme promis, la National Security Agency (NSA) des États-Unis a rendu…

CMS : 90% des sites web piratés utilisent WordPress

90% des sites web piratés utilisant un CMS tournent sous WordPress d’après Sucuri, une entreprise spécialisée en sécurité web. Les sites e-commerce sont particulièrement prisés des hackers pour la simple raison qu’ils permettent d’accéder aux données bancaires des utilisateurs. Ce…

Windows : le nombre d’attaques phishing a explosé en 2018

Microsoft révèle dans son rapport Security Intelligence Report 2018 quelle cybermenaces ont visé l’écosystème Windows au cours de l’année passée. Le nombre d’attaques phishing a explosé de 150% tandis que le nombre de ransomware est en déclin. Globalement, le rapport relève…

Chrome : 85% des extensions se moquent de votre vie privée

Une étude Duo Labs autour des extensions Chrome révèle que 85% d’entre elles n’ont aucune politique en matière de vie privée – un document qui explique clairement comment vos données seront utilisées en cas de collecte. Pour en arriver à…

Attention, ce câble USB peut pirater n’importe quel ordinateur

Ce câble USB modifié permet à un attaquant de pirater n’importe quel ordinateur. Conçu par un chercheur en cybersécurité, cet accessoire peut réagir à des commandes à distance transmises par un pirate. Bientôt produit en masse, il est destiné à mettre en garde le grand public…

Pourquoi il ne faut pas mettre sa date d’anniversaire sur internet

Une date d’anniversaire peut sembler être une information publique. Les dates d’anniversaire sont pourtant utilisées dans de nombreux services du web et peuvent être mises à parti par des pirates pour accéder à des informations sensibles comme votre compte en…