VLC et MPlayer : pas de faille de sécurité finalement
Mise à jour du 22/10/2018 à 15h45:
Ross Fynalson de Live Networks a envoyé un email à nos confrères de “Hackead”, la vulnérabilité «n’affecte ni VLC, ni MPlayer, car ils n’utilisent LIVE555 que pour mettre en œuvre un RTSP (protocole de streaming en temps-réel). Le bug ne concernait que notre implémentation d'un RTSP, que ces lecteurs multimédias n'utilisent pas. (VLC possède un serveur RTSP intégré, mais il utilise une implémentation distincte, pas celle de LIVE555)“.
VLC et MPlayer ont été touchés par une grave faille de sécurité. Cette dernière permet aux pirates d'installer un malware à distance. Heureusement, celle-ci est colmatée depuis. Les utilisateurs doivent veiller à bien avoir installé la dernière version de leur application favorite.
Des pirates peuvent exploiter une vulnérabilité touchant les lecteurs multimédias VLC et MPlayer. La faille exploite LIVE555, un ensemble de bibliothèques C ++ open-source développé par Live Networks Inc prenant en charge notamment des formats tels que H.264, H.265, MPEG, VP8 et DV. La faille réside dans une fonctionnalité de paquet HTTP analysant les en-têtes HTTP pour le tunneling RTSP sur HTTP.
VLC et MPlayer : les pirates peuvent envoyer des malwares à travers une faille de sécurité
Talos explique sur son site : «un paquet spécialement conçu peut provoquer un débordement de tampon basé sur une pile, entraînant l'exécution de code malveillant. Un attaquant peut envoyer un paquet afin de provoquer cette vulnérabilité». Entre temps, une mise à jour a été publiée pour protéger les utilisateurs de la faille LIVE555. Les utilisateurs sont invités à vérifier qu'ils disposent bien des dernières versions en date des lecteurs multimédias (lien vers VLC et lien vers MPlayer).
Ce n'est pas la première fois qu'un problème de sécurité de ce genre est évoqué. Des sous-titres infectés par des virus ont été signalés sur VLC et Popcorn Time par le passé. Bien que les choses soient rentrées dans l'ordre depuis, ces exemples montrent que les utilisateurs doivent redoubler de vigilance lorsqu'ils utilisent ce genre d'applications ultra-populaires. En outre, Huawei a placé VLC sur liste noire, il est devenu impossible pour les utilisateurs d'installer l'application Android sur leur smartphone. Une décision qui a provoqué la colère de l'éditeur. Utilisez-vous régulièrement VLC ? Partagez votre opinion avec la communauté dans les commentaires.
