Inforumatique

vous tous,


Secunia a découvert dans VLC, logiciel libre de lecture et diffusion audio/vidéo, une faille qualifiée de critique. Un assaillant pourrait grâce à elle prendre le contrôle d'un ordinateur à distance. Il faudra être méfiant avec les fichiers .WAV en attendant le correctif.


VLC Media Player est un logiciel bien connu pour ses performances en tant que lecteur vidéo multiformats. Intégrant directement les bibliothèques du projet FFMPEG, le logiciel n'a en effet pas besoin de codecs pour lire la majorité des vidéos disponibles sur la Toile. Logiciel libre et multiplateformes, VLC prend également en charge de nombreux formats audio, les DVD, (S)VCD, le streaming via les protocoles RTSP ou MMS... Il permet la capture vidéo mais ne s'arrête pas à la simple lecture. VLC est en effet capable d'assurer le rôle de serveur de diffusion, en transcodant le flux ainsi généré en de multiples codecs de sortie.

La société Secunia vient de découvrir une faille qualifiée de " hautement critique " (4/5) dans la dernière version de VLC sous Windows. Il est possible que les versions antérieures soient également affectées. La fonction open() du module WAV de VLC permet en effet un dépassement d'entier. Concrètement, si un utilisateur de VLC ouvre un fichier .WAV spécialement conçu pour exploiter la faille, du code arbitraire pourrait être exécuté et l'assaillant pourrait ainsi prendre le contrôle de l'ordinateur à distance.

Étant donné que le correctif n'est pas encore disponible dans la version stable, Secunia préconise de faire très attention aux fichiers .WAV exécutés avec VLC et de mettre à jour dès que possible le logiciel vers la version 0.8.6i, laquelle corrigera la faille.


Dixit: GNT

Bonne lecture…