VLC Media Player 3.0.71 est victime d’une nouvelle faille de sécurité critique. Celle-ci permet à des personnes mal-intentionnées d’exécuter du code arbitraire à distance, ce qui peut leur permettre, potentiellement, de prendre le contrôle de n’importe quel PC à distance exécutant cette version du programme. Les développeurs de VLC sont en train de préparer un correctif. En attendant il est déconseillé d’utiliser VLC 3.0.7.1.

VLC Faille

Les chercheurs en cybersécurité de l’agence gouvernementale allemande CERT-Bund lance une alerte suite à la découverte d’une faille de sécurité critique dans VLC 3.0.7.1. La faille de niveau 4/5, enregistrée sous la nomenclature CVE-2019-13615, est considérée comme particulièrement grave, d’autant que VLC fait partie des applications les plus téléchargées dans le monde. Du moment où cette version de VLC est installée, un attaquant peut provoquer l’exécution de code arbitraire à distance, exfiltrer des données et modifier des fichiers – en plus de perturber le fonctionnement normal de la machine que ce soit sous Windows 10, macOS ou Linux.

VLC Media Player : nouvelle faille critique

En juin une faille semblable permettant d’injecter du code avait été découverte dans la version 3.0.6, corrigée dans la version 3.0.7. La version 3.0.7.1 devait apporter des correctifs de sécurité – avant que ce problème ne soit détecté. VLC assure que dans les deux cas, en juin, ou désormais maintenant avec CVE-2019-13615, aucune de ces failles n’est activement exploitée par les pirates. L’exploiter suppose une attaque en réseau, reposant sur l’ouverture d’un fichier vidéo distant .mp4 modifié. Selon le tracker disponible sur le site officiel de VLC le développement d’un correctif est déjà en cours, mais n’est complété qu’à hauteur de 60%.

Lire également : VLC est de nouveau disponible sur les smartphones Huawei

Si vous êtes sous cette version vous êtes donc potentiellement vulnérable à ce type d’attaque. Comment se protéger ? Les documents que nous avons pu consulter sur le fonctionnement de cet exploit suggèrent que plusieurs conditions doivent être remplies pour qu’une attaque soit couronnée de succès. Il faut que l’utilisateur soit connecté à internet et ouvre un fichier .mp4 ou .mkv distant ou appelant des ressources distantes dans cette version de VLC. En attendant la publication d’un correctif, il est donc préférable de se méfier de ce type de fichier – et si nécessaire de les ouvrir avec un autre programme comme KMPlayer ou Kodi.

Il est également possible de bloquer les accès réseau de VLC avec des programmes comme Little Snitch (macOS) ou le firewall de votre antivirus.

Source : Winfuture.de

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Sécurité : Huawei subirait un million de cyberattaques par jour

D’après le chef de la sécurité de Huawei, l’entreprise repousserait une quantité impressionnante d’attaques informatiques. Des attaques à travers le monde entier, et des autorités américaines qui n’y seraient pas étrangères, selon l’entreprise. Si Huawei doit faire face à l’ire…

WhatsApp : un simple GIF permet de pirater votre smartphone

Une faille découverte dans l’application WhatsApp et qui affecte les smartphones Android permet d’accéder à vos photos privées et autres données personnelles. Il suffit d’un GIF modifié pour exploiter cette vulnérabilité qui vient d’être découverte par un chercheur en sécurité….

Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…