VLC : nouvelle faille de sécurité critique, que faire pour se protéger ?

VLC Media Player 3.0.71 est victime d'une nouvelle faille de sécurité critique. Celle-ci permet à des personnes mal-intentionnées d'exécuter du code arbitraire à distance, ce qui peut leur permettre, potentiellement, de prendre le contrôle de n'importe quel PC à distance exécutant cette version du programme. Les développeurs de VLC sont en train de préparer un correctif. En attendant il est déconseillé d'utiliser VLC 3.0.7.1.

VLC Faille

Les chercheurs en cybersécurité de l'agence gouvernementale allemande CERT-Bund lance une alerte suite à la découverte d'une faille de sécurité critique dans VLC 3.0.7.1. La faille de niveau 4/5, enregistrée sous la nomenclature CVE-2019-13615, est considérée comme particulièrement grave, d'autant que VLC fait partie des applications les plus téléchargées dans le monde. Du moment où cette version de VLC est installée, un attaquant peut provoquer l'exécution de code arbitraire à distance, exfiltrer des données et modifier des fichiers – en plus de perturber le fonctionnement normal de la machine que ce soit sous Windows 10, macOS ou Linux.

VLC Media Player : nouvelle faille critique

En juin une faille semblable permettant d'injecter du code avait été découverte dans la version 3.0.6, corrigée dans la version 3.0.7. La version 3.0.7.1 devait apporter des correctifs de sécurité – avant que ce problème ne soit détecté. VLC assure que dans les deux cas, en juin, ou désormais maintenant avec CVE-2019-13615, aucune de ces failles n'est activement exploitée par les pirates. L'exploiter suppose une attaque en réseau, reposant sur l'ouverture d'un fichier vidéo distant .mp4 modifié. Selon le tracker disponible sur le site officiel de VLC le développement d'un correctif est déjà en cours, mais n'est complété qu'à hauteur de 60%.

Si vous êtes sous cette version vous êtes donc potentiellement vulnérable à ce type d'attaque. Comment se protéger ? Les documents que nous avons pu consulter sur le fonctionnement de cet exploit suggèrent que plusieurs conditions doivent être remplies pour qu'une attaque soit couronnée de succès. Il faut que l'utilisateur soit connecté à internet et ouvre un fichier .mp4 ou .mkv distant ou appelant des ressources distantes dans cette version de VLC. En attendant la publication d'un correctif, il est donc préférable de se méfier de ce type de fichier – et si nécessaire de les ouvrir avec un autre programme comme KMPlayer ou Kodi.

Il est également possible de bloquer les accès réseau de VLC avec des programmes comme Little Snitch (macOS) ou le firewall de votre antivirus.

Source : Winfuture.de


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Nothing va lancer ses lunettes connectées, on a hâte de découvrir leur design

Après les smartphones et le matériel audio, Nothing prépare des lunettes connectées. La marque s’est fait connaître par le design extravagant de ses produits, va-t-elle récidiver ? Google avait raison,…

Les mises à jour foireuses arrivent aussi sur nos machines à laver, ces utilisateurs ne peuvent plus laver leurs vêtements

Une mise à jour de machines à laver Samsung empêche les utilisateurs de laver leurs vêtements. Même nos appareils électroménagers ne sont plus à l’abri de ce type de désagrément. …

Les performances de la puce Wi-Fi des MacBook Air et MacBook Pro sont limitées, admet Apple

La puce N1 développée par Apple, et qui équipe ses derniers modèles de MacBook Air et MacBook Pro, est bridée en Wi-Fi 7, apprend-on. Début mars, Apple annonçait la sortie…

PC

La dernière mise à jour de Windows 11 corrige un bug critique, installez-la maintenant

Microsoft déploie une mise à jour d’urgence, qui a pour but de corriger un bug important introduit par la mise à jour précédente. Le 26 mars dernier, Microsoft publiait la…

Performant et endurant, le POCO X8 Pro est déjà 35 % moins cher… pour une durée limitée

Le Poco X8 Pro vient à peine de sortir qu’il est déjà 35% moins cher. Grâce à une offre généreuse à durée limitée, ce smartphone performant et endurant passe sous…

Le port Lightning vous manque ? Ce bricoleur fou a créé une coque qui l’ajoute à l’iPhone 17 Pro

Ken Pillonel a encore frappé. Cette fois, l’ingénieur passionné de connectique Apple a ajouté un port Lightning à l’iPhone 17 Pro. En revanche, il a été un poil plus sage…

Le Honor 600 Lite arrive en France : une batterie XXL pour moins de 400 euros

Le Honor 600 Lite est disponible en France. Il se distingue par un capteur photo 108 MP, une batterie à très forte capacité et un design qui monte en gamme….

Fatigué de recevoir des appels téléphoniques avec personne au bout du fil ? On vous explique comment vous protéger de ces spams silencieux

Vous en avez marre de recevoir des spams téléphoniques silencieux ? On vous explique ce qui se cache derrière ces appels sans voix et surtout, comment se protéger efficacement. Si…

Les scientifiques sont formels : ne demandez pas conseil à l’IA après une dispute, elle est trop lèche-bot

Si vous souhaitez vous réconcilier avec un proche après une dispute, vous feriez mieux de ne pas demander conseil à ChatGPT (ou n’importe quel chatbot IA). C’est ce que vient…

IA

Les prix de la RAM DDR5 reculent enfin dans les magasins, mais ce n’est pas encore la fête

Les prix de la RAM DDR5 reculent enfin dans les magasins, et cette fois le mouvement dépasse l’Europe. Une analyse de marché confirme la tendance aux États-Unis et en Chine….