Information

VLC conteste l'affirmation de faille de sécurité `` critique '' selon laquelle des pirates pourraient accéder à vos fichiers

VLC conteste l'affirmation de faille de sécurité `` critique '' selon laquelle des pirates pourraient accéder à vos fichiers

VLC est l'un des lecteurs vidéo les plus populaires au monde, en grande partie grâce à sa version gratuite et open source.

Malheureusement, les rapports suggèrent que sa nature open-source aurait pu également le rendre vulnérable aux pirates. Une faille de sécurité, découverte par l'agence de sécurité allemande CERT-Bund, signifie que les pirates pourraient accéder à vos fichiers via le lecteur multimédia.

Avant de supprimer VLC, il vaut peut-être la peine d'entendre les représentants du lecteur vidéo: ils disent que ce sont toutes des "fausses nouvelles".

CONNEXES: CHASSE À L'ESPRIT: VOTRE CERVEAU POURRAIT-IL ÊTRE UNE CIBLE POUR LES HACKERS?

Un défaut prétendument `` critique ''

Comme le rapporte Gizmodo, l'agence de sécurité allemande CERT-Bund a découvert une faille très grave (via WinFuture) dans VLC (répertorié comme CVE-2019-13615). La faille a reçu un score de vulnérabilité de base de 9,8, ce qui la classe comme «critique». Gizmodo recommande de supprimer VLC "jusqu'à ce que les gens du projet VideoLAN puissent corriger la faille."

La vulnérabilité permet prétendument RCE (exécution de code à distance). Ce type de faille peut permettre aux pirates d'installer, de modifier ou d'exécuter des logiciels sur l'ordinateur d'un utilisateur sans autorisation. Il peut également être utilisé pour rechercher et parcourir les fichiers d'un ordinateur.

Gizmodo rapporte que les versions Windows, Linux et Unix de VLC sont toutes affectées, mais pas la version macOS. Si c'est vrai, c'est une énorme quantité d'utilisateurs vulnérables.

Cependant, de nouveaux rapports suggèrent que c'est un gros «si».

Fake news sur la cybersécurité?

Selon Lifehacker, le rapport de bogue pour ce numéro est ouvert depuis quatre semaines, mais le président de VideoLAN et développeur principal de VLC, Jean-Baptiste Kempf, vient de laisser une série de commentaires suggérant que les rapports sont des "fausses nouvelles".

Kempf a fait les commentaires suivants:

"Cela ne plante pas une version normale de VLC 3.0.7.1"

«Si vous arrivez sur ce ticket via un article de presse affirmant une faille critique dans VLC, je vous suggère de lire d'abord le commentaire ci-dessus et de reconsidérer vos (fausses) sources d'informations.

"Désolé, mais ce bogue n'est pas reproductible et ne plante pas du tout VLC."

L'organisation VideoLAN, le groupe derrière VLC, a également tweeté ce qui suit:

Salut @MITREcorp et @CVEnew, le fait que vous ne nous contactez JAMAIS pour des vulnérabilités VLC pendant des années avant la publication n'est vraiment pas cool; mais au moins vous pouvez vérifier vos informations ou vérifier vous-même avant d'envoyer publiquement la vulnérabilité CVSS 9.8 ...

- VideoLAN (@videolan) 23 juillet 2019

Ils affirment que le problème a été résolu il y a 18 mois et que VLC n'est pas vulnérable.

A propos du "problème de sécurité" sur #VLC: VLC n'est pas vulnérable.
tl; dr: le problème se trouve dans une bibliothèque tierce, appelée libebml, qui a été corrigée il y a plus de 16 mois.
VLC depuis la version 3.0.3 a la bonne version expédiée, et @MITREcorp n'a même pas vérifié leur réclamation.

Fil:

- VideoLAN (@videolan) 24 juillet 2019

Les mises à jour sont en cours, mais il semble que CERT-Bund pourrait être dans l'eau chaude s'il publiait vraiment une fausse faille de sécurité. En attendant, c'est à vous qui vous croyez. Gardez les yeux sur ChangeLog de VLC pour voir si des correctifs liés au problème surviennent - ou s'il ne s'agit vraiment que de fausses nouvelles.


Voir la vidéo: Connexion brisée - Piratage éthique - TOP 10 OWASP - Faille de sécurité #A03 (Janvier 2022).