Confusion à propos d'une vulnérabilité récemment révélée dans VLC Media Player

Des rapports ont commencé à apparaître sur Internet concernant une faille de sécurité critique dans le célèbre lecteur multimédia VLC Media Player.

Mise à jour : VideoLAN a confirmé que le problème n'était pas un problème de sécurité dans VLC Media Player. Les ingénieurs ont détecté que le problème était dû à une ancienne version de la bibliothèque tierce appelée libebml, incluse dans les anciennes versions d'Ubuntu. Le chercheur a apparemment utilisé cette ancienne version d’Ubuntu. Fin

Sam Rutherford, de Gizmodo, a suggéré que les utilisateurs désinstallent VLC immédiatement et que la teneur des autres magazines et sites techniques soit identique. Les titres et les histoires sensationnalistes génèrent un grand nombre de pages vues et de clics. C'est probablement la raison principale pour laquelle les sites préfèrent les utiliser au lieu de se concentrer sur des titres et des articles moins sensationnalistes.

Le rapport de bogue, enregistré sous CVE-2019-13615, attribue une importance critique à ce problème et indique qu'il affecte VLC Media Player 3.0.7.1 et les versions précédentes du lecteur multimédia.

Le problème concerne toutes les versions de bureau de VLC Media Player, disponibles pour Windows, Linux et Mac OS X, conformément à la description. Un attaquant pourrait exécuter du code à distance sur les périphériques affectés si la vulnérabilité est exploitée conformément au rapport de bogue.

La description du problème est technique, mais elle fournit néanmoins des informations précieuses sur la vulnérabilité:

VideoLAN VLC media player 3.0.7.1 a une mémoire tampon surchargée dans mkv :: demux_sys_t :: FreeUnused () dans modules / demux / mkv / demux.cpp lors de l'appel de mkv :: Open dans modules / demux / mkv / mkv.cpp.

Cette vulnérabilité ne peut être exploitée que si les utilisateurs ouvrent des fichiers spécialement préparés à l'aide de VLC Media Player. Un exemple de fichier multimédia utilisant le format mp4 est joint à la liste des pistes de bogues qui apparaît pour vous en avertir.

Les ingénieurs de VLC ont des difficultés à reproduire le problème qui a été déposé sur le site officiel de suivi des bogues il y a quatre semaines.

Le chef de projet, Jean-Baptiste Kempf, a fait savoir hier qu'il ne pouvait pas reproduire le bogue car il ne plantait pas VLC. Par exemple, Rafael Rivera, par exemple, n’a pas pu reproduire le problème sur plusieurs versions de VLC Media Player.

VideoLAN s’est adressé à Twitter pour faire honte aux organisations d’information MITRE et CVE.

Hey @MITREcorp et @CVEnew, le fait que vous ne nous contactiez JAMAIS pour des vulnérabilités VLC des années avant la publication n’est vraiment pas cool; mais au moins, vous pouvez vérifier vos informations ou vérifier vous-même avant d’envoyer publiquement la vulnérabilité 9.8 CVSS ...

Oh, au fait, ce n'est pas une vulnérabilité de VLC ...

Les organisations n’ont pas informé VideoLAN de la vulnérabilité à un stade avancé, selon la publication de VideoLAN sur Twitter.

Que peuvent faire les utilisateurs de VLC Media Player?

Les problèmes rencontrés par les ingénieurs et les chercheurs pour reproduire le problème en font une affaire assez complexe pour les utilisateurs du lecteur multimédia. Est-ce que VLC Media Player est sûr à utiliser entre-temps parce que le problème n'est pas aussi grave que suggéré initialement ou ne constitue-t-il pas une vulnérabilité du tout?

Cela peut prendre un certain temps avant que les choses ne soient réglées. Les utilisateurs peuvent utiliser un autre lecteur multimédia entre-temps ou faire confiance à l’évaluation du problème par VideoLAN. C'est toujours une bonne idée de faire preuve de prudence lors de l'exécution de fichiers sur des systèmes, en particulier lorsqu'ils proviennent d'Internet et de sources ne pouvant pas être approuvées à 100%.

Maintenant vous : Quelle est votre opinion sur l’ensemble du problème? (via Deskmodder)