Le populaire lecteur multimédia VLC présente une faille de sécurité critique et n’a pas encore été corrigé. VideoLan, la société mère de VLC, travaille actuellement sur un correctif. La vulnérabilité a été découverte par l'agence allemande de cybersécurité CERT-Bund.
La dernière version de VLC Media Player (3.0.7.1) inclut actuellement une faille de sécurité qui pourrait permettre à un pirate informatique distant d’exécuter du code, de provoquer un déni de service, d’exfiltrer des informations et de manipuler des fichiers sur la machine d’un utilisateur.
En relation: Meilleur antivirus gratuit
Selon ESET, la faille de corruption de mémoire peut également être présente dans les versions antérieures de VLC Media Player. Le problème concerne les utilisateurs Windows, Linux et Unix du programme. Les utilisateurs MacOS ont esquivé le problème.
Le bogue ne nécessite pas d'interaction de la part de l'utilisateur, ni l'escalade de privilèges à exploiter, ce qui le rend particulièrement dangereux. Heureusement, aucun cas d'exploitation de la vulnérabilité en matière de sécurité n'a encore été signalé.
En l'absence de correctif, le seul moyen d'éviter le problème pour le moment est d'éviter d'utiliser le lecteur multimédia VLC.
La vulnérabilité de la sécurité est considérée extrêmement sérieusement. La base de données nationale sur la vulnérabilité (NVD) du NIST a déclaré que la faille est critique et se classe 9,8 sur 10 sur l'échelle de notation de vulnérabilité commune (CVSS).
En relation: Meilleurs VPN
NVD est une base de données de vulnérabilités du gouvernement américain, tandis que CVSS est une norme utilisée pour fournir une indication numérique de la gravité des bogues.
VideoLan n'a pas encore révélé la date à laquelle un correctif sera implémenté. Cependant, le problème est inscrit à la liste des produits de la société. bug tracker comme une priorité essentielle – avec l'ouverture de la liste il y a quatre semaines et son achèvement à 60%.
Une publication allemande nommée Heise en ligne a signalé un fichier .mp4 spécifique peut être requis pour que l'exploit se produise. Cependant, les chercheurs en sécurité ou les découvreurs du bug CERT-Bund n’ont pas confirmé cette hypothèse.