VLC: Attention à l’ouverture de certains fichiers vidéos

Si vous utilisez VLC sur votre PC et que vous ne l’avez pas mis à jour récemment, certains fichiers vidéos téléchargés sur Internet pourraient permettre à des hackers de prendre le contrôle de votre système.

VLC media player (VLC) (à l’origine VideoLAN Client) est un lecteur multimédia français libre issu du projet VideoLAN. Ce logiciel est multiplateforme puisqu’il fonctionne sous Windows, toutes les tendances GNU/Linux, BSD, macOS, iOS, BeOS, Solaris, Android, QNX et Pocket PC soit en tout près de 20 plates-formes. Il est distribué sous licence GNU GPL.

Le logiciel est intégré à la liste des logiciels libres préconisés par l’État français dans le cadre de la modernisation globale de ses systèmes d’informations (S.I.).

Un des grands atouts de VLC est qu’il intègre les codecs nécessaires à la lecture de la plupart des formats audio et vidéo. De plus, le lecteur est capable de lire un grand nombre de flux réseaux. Il se montre par ailleurs très tolérant avec les flux légèrement endommagés, allant jusqu’à les réparer de son mieux.

VLC est en 2019 l’un des principaux lecteurs multimédias, est utilisé par plus de 400 millions de personnes et a été téléchargé plus de 3 milliards de fois, principalement en Europe, Inde et États-unis.

VLC est très populaire pour sa capacité à lire des vidéos incomplètes ou endommagées. Ceci permet de prévisualiser des vidéos avant de les avoir téléchargées entièrement. Exemple : avec eMule, il permet de vérifier la qualité du fichier téléchargé et de vérifier si on a affaire à un faux fichier (fake) ou pas.

Une autre caractéristique intéressante est la capacité de VLC à utiliser la bibliothèque libcdio pour lire les fichiers .iso pour que l’utilisateur puisse lire les fichiers sur une image de disque, même si le système d’exploitation de l’utilisateur n’a pas la capacité de travailler directement avec les fichiers .iso. VLC supporte tous les codecs et tous les formats de fichier supportés par FFmpeg. Le lecteur multimédia VLC a des filtres de distorsion, de rotation, d’inversion, de désentrelacement, d’ajustement, de duplication, d’agrandissement ou de redimensionnement.

Les versions du logiciel VLC antérieure à la version 3.0.7 contiennent deux vulnérabilités critiques, en plus d’autres failles de niveau medium et de bas niveau, qui pourrait mener potentiellement à des attaques d’exécution de code arbitraire.

Avec plus de 3 milliards de téléchargements, VLC est un logiciel de lecture de média très populaire qui est utilisé par des millions d’utilisateurs dans le monde sur des plateformes majeures, y compris Windows, macOS, Linux, ainsi que les plateformes mobiles Android et iOS.

Découverte par Symeon Paraschoudis de Pen Test Partners et identifié comme CVE-2019-12874, la première vulnérabilité est un double free qui réside dans la fonction “zlib_decompress_extra” du lecteur VLC et se déclenche lors de l’analyse d’un fichier MKV mal formé dans le démultiplicateur Matroska.

La seconde vulnérabilité, identifiée comme CVE-2019-5439 et découverte par un autre chercheur, est un dépassement de tampon en lecture qui réside dans la fonction “ReadFrame” et est déclenché lors de l’utilisation d’un fichier AVI malformé.

vlc media player vulnerabilities

Bien que la preuve de concept démontrée par les chercheurs cause un crash, un hacker peut exploiter ces vulnérabilités pour exécuter du code arbitraire avec les même privilèges que l’utilisateur ciblé sur le système.

Il faut juste que le hacker créé un fichier MKV ou AVI malveillant et pousse les usagers à lire le fichier avec une version vulnérable de VLC.

Il pourrait utiliser des sites de torrent, et mimiquer les copies piratées de films ou séries.

Selon un rapport publié par VideoLAN, activé les protections ASLR et DEP permet de mitiger la menace, mais les développeurs ont révélé que même ces protections pourraient être contourné.

Paraschoudis a utilisé l’outil honggfuzz pour découvrir le problème et quatre autres bugs, lesquels ont aussi été patché par l’équipe VideoLAN un peu plus tôt ce mois-ci avec 28 autres bugs reportés par d’autres chercheurs en sécurité via le programme bug bounty EU-FOSSA.

Comment se protéger contre cette faille de VLC?

Il est recommandé de mettre à jour vers VLC 3.0.7 ou des versions plus récentes et d’éviter d’ouvrir des fichiers vidéos venant de sources non-officielles.

Si cet article vous a plu, jetez un œil à notre précédent article.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x