Bonjour,

L'agence allemande de cybersécurité CERT-Bund, a récemment découvert ce qu'elle décrit comme une faille critique dans le très répandu lecteur multimédia VLC Media Player. Le service en question a classé la vulnérabilité, officiellement enregistrée sous le numéro CVE-2019-13615, comme étant "élevée" (niveau 4), le second niveau le plus élevé d'évaluation des risques par l'agence.

Cette vulnérabilité permettrait à des individus malveillants, non seulement d'exécuter du code à distance, mais aussi de divulguer des informations sans autorisation, de modifier des fichiers sans autorisation et d'interrompre le service.

L'éditeur VideoLan serait actuellement à l'ouvrage pour mettre au point un correctif dont l'évolution peut être suivie sur cette page. Il semblerait que le problème soit en partie lié à des interférences dans le démuxeur MP4 du lecteur.

Une prochaine version 3.0.8 de VLC Media Player corrigeant cette faille devrait donc être publiée dans les prochains jours.



Source : Neowin

Il semblerait qu'il n'y avait pas de faille. Voir article de GNT ici

Argueu, la gestion et propagation de l'information ...

On peut comprendre la colère et la grogne de VLC.
Tentative de discréditation ?!

Bonjour,

Certes les agences de sécurité, à l'origine de ces alertes, ont probablement un peu grossi le trait. C'est la raison pour laquelle j'avais bien pris soin d'utiliser le conditionnel dans mon billet initial.

VideoLan a eu raison de mettre les choses au point. Mais il n'en reste pas moins que tous les problèmes de sécurité n'avaient pas été corrigés au moment de la sortie des dernières versions de VLC.
D'ailleurs, il suffit de se rendre sur la page des changements effectués pour chaque nouvelle version, pour se rendre compte qu'il y a une liste de corrections déjà publiée pour la prochaine version 3.0.8, qui n'est d'ailleurs pas encore disponible au téléchargement :

Citation :

Bien sûr, ce n'est pas comparable avec les quelques 20 corrections de sécurité apportées au moment de la sortie de la v3.0.7 en juin 2019 (et non pas seulement la v3.0.3 comme il est indiqué dans l'article de GNT du 24 Juillet 2019 cité plus haut) et celles qui subsistent ne sont peut-être pas critiques au point de crier haro sur VLC, mais elles existent.

Quoi qu'il en soit, un appel à la vigilance n'est jamais superflu. D'ailleurs, nous nous servons pratiquement tous les jours d'un système d'exploitation et d'applications qui sont truffés de failles sécuritaires sans que nous le sachions, jusqu'à leur découverte et leur révélation au public. En dépit de la qualité indéniable de VLC et du sérieux de son équipe de développement, il n'y aucune raison pour que ce lecteur multimédia populaire échappe à la règle. En matière d'informatique, c'est une lutte sans fin !...

Bonsoir,

Citation :

— Probablement grossi le trait ! un euphémisme !

L'organisme Mitre qui se « vautre » magistralement,.. le CERT-Bund qui emboîte le pas sans plus de vérification, Neowin et autre Winfuture.de qui relaient l'info que se fait une joie de nous commenter tout un chacun sans aucunes vérifications.

— Rétablissons la vérité.

La vulnérabilité décrite n'est pas dans le lecteur VLC lui-même mais dans un fichier obsolète d'une bibliothèque qui se trouvait sur l'ordinateur de l'utilisateur qui a déclaré ce « bug » en l'occurrence une version Ubuntu non à jour!

Ça fait belle lurette que ce fichier « libebml » est corrigé, et cela n'a surtout pas fait l'ombre d'une note sur « la banquise »

Les versions pour Windows ne sont pas affectées par ce souci donc pas de problème de sécurité. C'est un comble de voir l'affolement du monde Windows pour une vulnérabilité virtuelle qui ne l'a jamais concerné.

Si les affaires de sécurité n'étaient pas aussi sérieuses, cela aurait pu me faire rire !

Ah, les anglo-saxons et leurs compères germaniques ils ne perdent pas une occasion pour venir faire leur besoin sur un produit qu'ils jalousent. Il sont parfois moins regardants sur leurs catalogues.

Citation :