Clicky

VLC : une faille critique de sécurité découverte dans le célèbre lecteur vidéo (MàJ)

VLC a mal à son streaming. Des chercheurs en sécurité de Cisco Talos ont découvert une faille critique dans une fonctionnalité intégrée au célèbre lecteur vidéo, une fonctionnalité dédiée au streaming. Intégrée à VLC, mais aussi à MPlayer et d’autres lecteurs multimédias populaires, note TechRadar, cette dernière (LIVE555, une librairie intégrée) permettait la prise de contrôle à distance des ordinateurs sur lesquels ces lecteurs sont installés. Dans le cas de VLC, l’installation de la toute dernière mise à jour du service ne serait toutefois pas une solution dans l’immédiat.

En effet, si Live Networks (la société en charge de cette fameuse librairie LIVE555) a déployé un correctif le 17 octobre dernier, la dernière mise à jour de VLC (v.3.0.4) remonte pour sa part à la fin de l’été, et plus précisément au 31 août, explique 01Net, en contradiction avec HackRead, qui avance de son côté qu’une mise à jour salvatrice aurait déjà été déployée. Nul doute que VideoLAN (l’éditeur de VLC) publiera un patch prochainement en France, mais en attendant, prudence reste mère de sûreté.

Un bug repéré dans une fonctionnalité dédiée au streaming, intégrée au lecteur vidéo VLC, permet de prendre à distance le contrôle d’un ordinateur. Un patch visant à combler cette faille devrait arriver prochainement.

L’exploitation de cette faille de sécurité s’appuie en tout cas sur la gestion des connexions basées sur le protocole Real Time Streaming Protocol (RTSP), que VLC propose par le biais de LIVE555. Le bug, présent dans la librairie jusqu’au correctif du 17 octobre, permettait notamment de dépasser la mémoire tampon allouée en vue d’exécuter un code arbitraire qui ouvrait les portes d’un contrôle à distance du PC.

VLC avait déjà été pointé du doigt pour ses lacunes en termes de sécurité

Comme le note HackRead, le lecteur multimédia de VideoLAN avait déjà fait l’objet de remontrances, l’année dernière, pour une autre faille de sécurité qui touchait également Kodi et Popcorn Time. Cette dernière permettait de pirater un système en passant par les fonctions de sous-titrage du lecteur.

Plus récemment, VLC faisait parler de lui en juillet dernier pour avoir bloqué, sur le PlayStore, les téléchargements de son application aux mobiles estampillés Huawei. Une mesure prise pour protester contre la politique mise en oeuvre par le constructeur chinois en termes de gestion des programmes fonctionnant en arrière plan sur ses terminaux. Ce coup de sang ne s’était, bizarrement, pas étendu aux smartphones de la marque Honor (filiale du groupe Huawei) qui disposent pourtant de la même surcouche Android.

Mise à Jour : La lumière est finalement venue du forum Slashdot, où le développeur de LIVE555 s’est exprimé sur la faille affectant son programme. Contrairement, à ce que les chercheurs de Cisco Talos affirmaient il y a quelques jours, VLC et MPlayer n’utilisent que la partie client de la librairie LIVE555. En conséquence, les deux lecteurs vidéo ne sont pas concernés par la faille évoquée dans le présent article.

Nathan

Breton (presque) pure souche, Nathan est un nerd mordu d'Histoire avec un grand H et de Rock avec un grand R. Selon lui, en matière de musique, plus c'est vieux... mieux c'est.