vlc

VLC: Attention à certains fichiers vidéos

Si vous utilisez VLC sur votre PC et que vous ne l’avez pas mis à jour récemment, certains fichiers vidéos téléchargés sur Internet pourraient permettre à des hackers de prendre le contrôle de votre système.

Les versions du logiciel VLC antérieure à la version 3.0.7 contiennent deux vulnérabilités critiques, en plus d’autres failles de niveau medium et de bas niveau, qui pourrait mener potentiellement à des attaques d’exécution de code arbitraire.

Avec plus de 3 milliards de téléchargements, VLC est un logiciel de lecture de média très populaire qui est utilisé par des millions d’utilisateurs dans le monde sur des plateformes majeures, y compris Windows, macOS, Linux, ainsi que les plateformes mobiles Android et iOS.

Découverte par Symeon Paraschoudis de Pen Test Partners et identifié comme CVE-2019-12874, la première vulnérabilité est un double free qui réside dans la fonction “zlib_decompress_extra” du lecteur VLC et se déclenche lors de l’analyse d’un fichier MKV mal formé dans le démultiplicateur Matroska.

La seconde vulnérabilité, identifiée comme CVE-2019-5439 et découverte par un autre chercheur, est un dépassement de tampon en lecture qui réside dans la fonction “ReadFrame” et est déclenché lors de l’utilisation d’un fichier AVI malformé.

vlc media player vulnerabilities

Bien que la preuve de concept démontrée par les chercheurs cause un crash, un hacker peut exploiter ces vulnérabilités pour exécuter du code arbitraire avec les même privilèges que l’utilisateur ciblé sur le système.

Il faut juste que le hacker créé un fichier MKV ou AVI malveillant et pousse les usagers à lire le fichier avec une version vulnérable de VLC.

Il pourrait utiliser des sites de torrent, et mimiquer les copies piratées de films ou séries.

Selon un rapport publié par VideoLAN, activé les protections ASLR et DEP permet de mitiger la menace, mais les développeurs ont révélé que même ces protections pourraient être contourné.

Paraschoudis a utilisé l’outil honggfuzz pour découvrir le problème et quatre autres bugs, lesquels ont aussi été patché par l’équipe VideoLAN un peu plus tôt ce mois-ci avec 28 autres bugs reportés par d’autres chercheurs en sécurité via le programme bug bounty EU-FOSSA.

Comment se protéger contre cette faille de VLC?

Il est recommandé de mettre à jour vers VLC 3.0.7 ou des versions plus récentes et d’éviter d’ouvrir des fichiers vidéos venant de sources non-officielles.

Si cet article vous a plu, jetez un œil à notre précédent article.