Une agence de cybersécurité allemande a publié un avertissement concernant VLC Media Player, le lecteur multimédia open source téléchargé plus de trois milliards de fois. La version 3.0.7.1 du logiciel dispose d’une faille de sécurité critique, classée comme élevée (niveau 4 sur 5). Elle permet notamment d’exécuter du code à distance, sans se faire remarquer.
Même si elle proposait des améliorations pour 4K et 8K, HDR et vidéos 360, la version VLC 3.0.7 sortie au mois de juin était avant tout une mise à jour de sécurité. Toutefois, cette nouvelle version contient également une faille critique.
CERT-Bund (Computer Emergency Response Team) est une agence de cybersécurité allemande. Il s’agit de l’organisme qui pilote les mesures préventives et réactives en cas d’incidents informatiques liés à la sécurité.
Samedi 20 juillet, alors que nous célébrions les 50 ans du premier pas sur la Lune, l’agence a publié un avertissement concernant le logiciel open source VLC Media Player 3.0.7.1 pour Linux, UNIX et Windows.
Un signalement douloureux pour VLC dont la version 3.0.6 (et celles antérieures) avait été épinglée en juin pour être sensible aux logiciels malveillants infiltrés.
Alors que le lecteur multimédia hautement compatible a été téléchargé plus de 3 milliards de fois, la nouvelle vulnérabilité détectée par CERT-Bund est d’autant plus dangereuse.
Décrite « CVE-2019-13615 », le risque lié à cette faille a été classé comme « élevé », au niveau 4 sur l’échelle de dangerosité à cinq niveaux établie par le CERT.
Cette faille permet notamment à un attaquant d’exécuter du code à distance, anonymement et en toute discrétion. Il peut ainsi interrompre des services, modifier des fichiers sans autorisation ou encore divulguer des informations.
VLC est actuellement est train de développer un correctif, terminé à 60 %. Pour l’instant, aucune date de sortie n’a été annoncée pour ce patch. Néanmoins, le CERT-Bund se veut rassurant : contrairement à la faille du mois de juin, celle-ci ne semble pas avoir été exploitée par des attaquants.
Quoi qu’il en soit, l’agence allemande recommande d’éviter le logiciel tant qu’aucun correctif n’aura été apporté à VLC Media Player.
Avec Clubic
Source : l-frii.com