Installée sur des milliards d'ordinateurs, la star des lecteurs multimédia est victime d'une faille dans sa toute dernière version. En attendant la mise en ligne d'un correctif, il est donc conseillé de ne pas l'installer.


au sommaire


    CERT-Bund, le centre de réponses aux cyberattaques du gouvernement allemand, vient de dévoiler une nouvelle faille dans le lecteur multimédia VLC, baptisée CVE-2019-13615. L'agence gouvernementale américaine NIST lui donne un score de 9,8 sur 10, ce qui est synonyme de faille critique. Le problème est d'autant plus sérieux sur un logiciel aussi populaire. VLC, le lecteur capable de lire quasiment n'importe quel fichier multimédia puisqu'il compte plus de 3 milliards de téléchargements à son actif.

    Un virus ou une personne mal intentionnée pourrait exploiter le débordement de la mémoire tampon (bufferbuffer overflow)) pour permettre l'exécution de code à distance et un accès aux fichiers de la machine victime. L'agence allemande note toutefois qu'elle n'a découvert aucune instance de programme exploitant cette faille.

    Un correctif à 60 % terminé

    La faille concerne la version 3.0.7.1 du logiciel, soit uniquement la dernière mise à jour. Elle est présente sur les systèmes d'exploitationsystèmes d'exploitation Windows et Linux, mais ne concernerait pas la version sur macOS. Pour ceux qui utilisent encore une ancienne version, il est conseillé d'attendre la publication d'un correctif avant de mettre VLC à jour.

    Une mise à jour devrait paraître rapidement, les développeurs de VLC travaillant dessus depuis un mois. Un ticket a été publié sur leur système de suivi de bugsbugs, qui indique que le correctif est déjà à 60 %. En attendant, mieux vaut se limiter aux fichiers multimédia de source sûre.