Passer au contenu

Une faille critique dans VLC permet de pirater votre ordinateur à distance

Contrairement à ce qui était indiqué par les chercheurs en sécurité de Cisco Talos, le bug qui existait dans une librairie de streaming n’affectait pas le célèbre lecteur multimédia. Ouf, on est rassuré.

Les chercheurs de Cisco Talos sont allés un peu vite en besogne lorsqu’ils ont communiqué sur une faille critique dans LIVE555, une librairie utilisée pour gérer des connexions de streaming vidéo RTSP (Real Time Streaming Protocol). Contrairement à ce que laissait supposer leur note de blog, VLC et MPlayer n’étaient pas vulnérables. La faille trouvée dans LIVE555 résidait dans la partie serveur. Or, ces deux lecteurs multimédias n’embarquent que la partie client de cette librairie. C’est l’auteur de LIVE555 en personne qui l’a précisé sur le forum Slashdot. « VLC dispose d’un serveur RTSP embarqué, mais il utilise une implémentation différente, pas celle de LIVE555 », précise ainsi Ross Finlayson. 

Article publié à 8h38

Une faille critique dans VLC permet de pirater votre ordinateur à distance

Un bug dans une librairie intégrée permet d’exécuter du code arbitraire à distance, simplement en envoyant un paquet Internet malformé.

Attention au streaming dans VLC. Les chercheurs en sécurité de Cisco Talos ont récemment découvert une faille critique dans l’une des librairies utilisées par le célèbre lecteur multimédia, en occurrence « LIVE555 ».  Celle-ci sert à gérer des connexions qui s’appuient sur le protocole Real Time Streaming Protocol (RTSP). Un bug dans cette librairie permettait de provoquer un dépassement de mémoire tampon et, par conséquent, une exécution de code arbitraire. Il suffisait, pour cela, de simplement envoyer vers l’ordinateur ciblée un paquet malformé. Un scénario qui autorise donc le piratage à distance d’une machine.

La faille a été colmatée par le mainteneur de cette librairie, Live Networks, depuis de 17 octobre. C’est pourquoi Cisco Talos s’est permis de publier les détails techniques de ce bug. Néanmoins, il n’est pas certain que le correctif a été répercuté dans VLC. La dernière mise à jour de VLC date en effet du 31 août 2018 (3.0.4). La prudence est donc de mise en attendant d’avoir confirmation. Cette librairie est également intégrée dans MPlayer, un autre lecteur multimédia.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Meta Ai Bot 4
Meta lance son bot IA partout : Facebook, Messenger, WhatsApp, Instagram et sur le web
01net Morning
01net morning : test d’un rude concurrent du PlayStation Portal, un site de streaming inquiète Disney+, comment installer l’AltStore sur votre iPhone ?
Dji Power 1000 2
Après les drones, DJI se lance dans les stations électriques portables
Iphone Daisy Recyclage
Recyclage : Apple détruirait des iPhone en état de fonctionner
Google Logo Flou
Google licencie des employés après des manifestations contre le « Projet Nimbus »
Huawei Pura 70
Huawei met en vitrine sa nouvelle gamme Pura 70
Drapeau européen
Le régulateur européen émet de fortes réserves sur le système « Payer ou Consentir » : quelles conséquences pour Meta ?
Nothing Ear (a) Une 1
Nothing Ear et Ear (a) : les écouteurs sans fil à moins de 150 euros repartent de zéro
Top téléchargements