Nos excuses : comme beaucoup de nos confrères , nous avons publié hier un article titré « Une faille critique découverte dans VLC ». Or… Il n’en n’est rien. Dans une série de tweets publiés il y a quelques minutes, VideoLAN critique vertement la série d’événements qui ont mené à ce que le CERT-Bund, centre de réponses aux cyberattaques du gouvernement allemand, publie une alerte de sécurité « critique » à l’encontre du populaire lecteur multimédia.
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) July 24, 2019
« En résumé, VLC n’est pas vulnérable. Le problème vient d’une librairie de tierce partie appelée libebml, et a été corrigé il y a plus de 16 mois. VLC depuis la version 3.0.3 utilise la bonne version de cette librairie ».
L’association détaille ensuite les événements : un chercheur en sécurité a reporté ce bug dans l’outil de suivi de VLC, qui est accessible publiquement sur la Toile. L’équipe de développement n’est pas parvenue à reproduire l’erreur. Mais s’est aperçue que l’individu utilisait une ancienne version d’Ubuntu… et certainement d’une version vulnérable de la librairie.
VideoLAN pointe du doigt MITRE Corporation, qui, ayant découvert la publication du chercheur sur l’outil de suivi de Videolan, a choisi de lancer une alerte, sans prévenir les développeurs de VLC. Alerte qui a ensuite été reprise par le CERT-Bund. C’est cette alerte que nous avons relayée.
« MITRE se comporterait-il de la même manière avec Microsoft ou une autre grosse entreprise ? Non, nous sommes seulement une petite structure sans but lucratif, qui n’a pas les moyens de payer quelqu’un à plein temps. » explique encore l’association sur Twitter.
Article original paru le 23/07/2018
Une faille de sécurité a été détectée dans VLC par le CERT-Bund, le centre de réponses aux cyberattaques du gouvernement allemand. Et avec 3 milliards de téléchargements à son actif, VLC n’est pas un petit programme qui vit sa vie dans son coin…
Cette faille de sécurité – portant le doux nom de CVE-2019-13615 – est classée niveau 4 par l’autorité, à un échelon du risque maximum. Elle permettrait à des personnes mal intentionnées d’exécuter du code à distance, mais aussi d’extraire des données de la machine cible. Pour l’instant, l’agence allemande affirme toutefois qu’aucun cas d’exploitation de la brèche n’a encore été signalé.
Source : CERT-Bund
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
