VLC : nouvelle faille de sécurité critique, que faire pour se protéger ?

VLC Media Player 3.0.71 est victime d'une nouvelle faille de sécurité critique. Celle-ci permet à des personnes mal-intentionnées d'exécuter du code arbitraire à distance, ce qui peut leur permettre, potentiellement, de prendre le contrôle de n'importe quel PC à distance exécutant cette version du programme. Les développeurs de VLC sont en train de préparer un correctif. En attendant il est déconseillé d'utiliser VLC 3.0.7.1.

VLC Faille

Les chercheurs en cybersécurité de l'agence gouvernementale allemande CERT-Bund lance une alerte suite à la découverte d'une faille de sécurité critique dans VLC 3.0.7.1. La faille de niveau 4/5, enregistrée sous la nomenclature CVE-2019-13615, est considérée comme particulièrement grave, d'autant que VLC fait partie des applications les plus téléchargées dans le monde. Du moment où cette version de VLC est installée, un attaquant peut provoquer l'exécution de code arbitraire à distance, exfiltrer des données et modifier des fichiers – en plus de perturber le fonctionnement normal de la machine que ce soit sous Windows 10, macOS ou Linux.

VLC Media Player : nouvelle faille critique

En juin une faille semblable permettant d'injecter du code avait été découverte dans la version 3.0.6, corrigée dans la version 3.0.7. La version 3.0.7.1 devait apporter des correctifs de sécurité – avant que ce problème ne soit détecté. VLC assure que dans les deux cas, en juin, ou désormais maintenant avec CVE-2019-13615, aucune de ces failles n'est activement exploitée par les pirates. L'exploiter suppose une attaque en réseau, reposant sur l'ouverture d'un fichier vidéo distant .mp4 modifié. Selon le tracker disponible sur le site officiel de VLC le développement d'un correctif est déjà en cours, mais n'est complété qu'à hauteur de 60%.

Si vous êtes sous cette version vous êtes donc potentiellement vulnérable à ce type d'attaque. Comment se protéger ? Les documents que nous avons pu consulter sur le fonctionnement de cet exploit suggèrent que plusieurs conditions doivent être remplies pour qu'une attaque soit couronnée de succès. Il faut que l'utilisateur soit connecté à internet et ouvre un fichier .mp4 ou .mkv distant ou appelant des ressources distantes dans cette version de VLC. En attendant la publication d'un correctif, il est donc préférable de se méfier de ce type de fichier – et si nécessaire de les ouvrir avec un autre programme comme KMPlayer ou Kodi.

Il est également possible de bloquer les accès réseau de VLC avec des programmes comme Little Snitch (macOS) ou le firewall de votre antivirus.

Source : Winfuture.de


Réagissez à cet article !

Demandez nos derniers articles !

La plus grande archive de jeux vidéo physiques ferme ses portes

L’Internationale Computerspielesammlung allemande, qui contient 60 000 jeux vidéo physiques anciens, doit mettre la clé sous la porte. Gros coup dur pour la préservation du jeu vidéo. 87 %. C’est…

Les astronomes n’en reviennent pas, cette planète voisine de la Terre coche presque toutes les cases de la vie

La chasse aux mondes habitables vient de trouver une nouvelle cible. Une planète toute proche affiche des conditions troublantes de familiarité. Les scientifiques n’osent plus cacher leur enthousiasme. La chasse…

Mort du format physique : Sony offre un maigre lot de consolation aux joueurs PlayStation qui espèrent encore avoir des jeux sur CD

La semaine dernière, Sony annonçait stopper la production de Blu-ray pour ses jeux PlayStation à compter de janvier 2028. Mais en réalité, cela ne concerne pas exactement tous les jeux…

Apple lancerait son iPhone pliable en quantités si limitées que les prix pourraient s’envoler

Le tourisme du haut de gamme mobile va bientôt changer d’échelle. Apple placerait son iPhone Ultra pliable dans une catégorie de prix inédite. Les premières estimations donnent le vertige. Le…

Apple Watch Series 12 : ce changement de capteur inédit pourrait tout changer

La prochaine montre connectée d’Apple pourrait révolutionner l’industrie. L’Apple Watch Series 12 pourrait en effet intégrer un nouveau capteur de santé à un emplacement inédit. On vous explique tout. Dans…

Galaxy Watch 9 et Ultra 2 : Samsung préparerait du lourd, les nouveaux cadrans ont fuité

Les prochaines montres connectées de Samsung se dévoilent déjà. Une fuite nous montre ce qui pourrait être les nouveaux cadrans des Galaxy Watch 9 et autres Galaxy Watch Ultra 2…

L’attente de GTA 6 vire à l’obsession, ce couple prend une décision complètement folle

Pour certains fans, la passion pour GTA 6 n’a pas de limite. Un couple a ainsi passé un véritable contrat, qui impose plusieurs règles aux signataires concernant le prochain volet…

Samsung pourrait faire exploser le prix de la RAM, préparez-vous au choc

Coup de tonnerre dans l’industrie de l’électronique. Malgré l’actuelle crise des composants, Samsung aurait décidé d’augmenter une nouvelle fois le prix de ses puces mémoire DRAM. Une décision qui pourrait…

Google Wallet s’améliore sur Wear OS, cette nouveauté va vous simplifier la vie

L’application de paiement de Google s’enrichit. Celle-ci facilite notamment la gestion de vos dépenses effectuées via votre montre connectée Wear OS. Google n’en finit plus d’optimiser sa célèbre application de…

Google Maps va encore plus loin : l’application pourrait commander votre repas à votre place

Google Maps cacherait une fonctionnalité bien pratique pour les amateurs de restaurants. Celle-ci permettrait de grandement faciliter la récupération de vos plats favoris alors même que vous êtes sur la…