VLC : une faille critique découverte, bientôt corrigée
Le plus célèbre des lecteurs vidéo sans codec comporte une faille dans sa version 3.0.7.1 permettant d'exécuter du code à distance et d'extraire des données d'un appareil.
Attendez-vous à mettre à jour VLC très bientôt.
Une faille encore jamais exploitée
L’alerte a été donnée par le CERT-Bund, Computer Emergency Response Team, centre de réponses aux cyberattaques du gouvernement allemand. Dans sa version 3.0.7.1, VLC comporte une faille critique permettant d’exécuter du code à distance et d’extraire des données d’un appareil, le tout sans détection de l’utilisateur évidemment. Cette faille peut être exploitée aussi bien sur les systèmes Windows que UNIX et Linux.
Répondant au doux nom de CVE-2019-13615, elle exploite le buffer overflow ou exploit par débordement de la mémoire tampon. L’agence de sécurité allemande évalue la dangerosité de cette menace à 4 sur une échelle de 5. L’équipe derrière le logiciel en source ouverte travaille d’ores et déjà à un correctif, dont le ticket peut être suivi directement sur cette page. Comme d’habitude, veillez à toujours garder vos logiciels à jour, quitte à chercher manuellement les dernières mises à jour. En plus d’ajouts de fonctionnalités, ces dernières ont, on le voit, des apports systématiques en matières de sécurité.