VLC : démenti général de la faille de sécurité
Non, il n'y avait pas de faille de sécurité dans la version 3.0.7.1 de VLC. Jean-Baptiste Kempf en profite pour mettre les choses au clair, le compte Twitter également.
Nous relayions lundi 22 juillet un article relatant la découverte d’une supposée “faille critique” dans le logiciel de lecture multimédia VLC. Il s’avère que la presse spécialisée s’est emballée un peu trop vite.
Une faille qui n’existe pas
Lundi, le CERT-Bund, centre de réponses aux cyberattaques du gouvernement allemand, sonnait l’alerte à propose de la version 3.0.7.1 de VLC, qui comportait selon eux une faille critique permettant d’exécuter du code à distance et d’extraire des données d’un appareil.
Rapidement, le MITRE, son homologue américain, publiait l’entrée (aujourd’hui corrigée) CVE-2019-13615 pour identifier la faille. Le compte Twitter de VLC, remonté comme il se doit, pointe directement le MITRE du doigt pour cette revendication erronée.
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) July 24, 2019
La faille de buffer overflow ou exploit par débordement de la mémoire tampon, qui concernait la bibliothèque logicielle tierce libebml, a été corrigée il y a bientôt dix-sept mois. Ainsi, depuis la version 3.0.3 sortie il y a maintenant plus d’un an, VLC n’est plus vulnérable. Le CERT-Bund a également corrigée l’entrée de la faille dans son index. Le compte Twitter du logiciel dénonce aussi l’article clickbait de Gizmodo, qui recommandait radicalement de désinstaller le lecteur, sans avoir prit la peine de vérifier la véracité des informations auprès de Videolan.
and then, of course, @Gizmodo decided to play the clickbaiting of "Uninstall VLC now, or you are all going to die". Of course, @Gizmodo did not contact at all to check their info.
And then, we got hundreds of article about VLC insecurity.— VideoLAN (@videolan) July 24, 2019
BFMTV en prend également pour son grade, la chaîne française d’information en continu ayant relayé le développement d’un correctif de sécurité en cours qui stagnait alors à 60%.
@BFMTV joined of course, with the ridiculous "60%" of the fix is done, which is what the reporter added in the public bugtracker…
— VideoLAN (@videolan) July 24, 2019
Le ticket avait été ouvert sur le système public de suivi des bogues par “topsec(zhangwy)”, un utilisateur n’ayant pas mis à jour sa distribution Ubuntu depuis bien longtemps, ni sa bibliothèque tierce contenant libebml. Beaucoup de bruit pour rien.