Il y a quelques heures un faille de sécurité dans VLC qui est marqué d'un 9.8 sur 10 sur l'échelle de danger. La "panne critique" a été découverte par le CERT-Bund et publiée par WinFuture (en allemand), où ils décrivent une vulnérabilité qui permet l'exécution de code à distance, ce qui pourrait permettre à un utilisateur malveillant distant d'installer, de modifier ou d'exécuter du code sans que nous nous en rendions compte ou même n'accédions aux fichiers de notre système. Il a également été propagé par Mitre.
Les versions concernées seraient celles de Linux, Windows et Unix, le macOS étant sûr, le tout selon WinFuture et le reste des sources qui ont diffusé ces informations. La bonne nouvelle est que personne n'a exploité la vulnérabilité, ce qui, avec la version VideoLan, nous laisse nous demander si tout cela est réel ou fausse alerte. Mais la vérité est que la version VideoLan, ou un tiers qui a déclaré avoir créé un patch à 60%, nous laisse plus de doutes sur ce qui se passe.
Pas un bogue VLC
Avez-vous même vérifié cela?
Personne ne peut reproduire ce problème ici.- VideoLAN (@videolan) 23 juillet 2019
Avez-vous même vérifié cela? Personne ne peut reproduire ce problème ici »
Au moment d'écrire ces lignes, VideoLan semble très indigné par ce que CVE et Mitre ont fait. Premier ils se plaignent qu'ils ne sont pas du tout en contact avec eux depuis des années et qu'ils publient maintenant ce jugement sans rien leur dire. Puis ils disent que pas un pépin VLC, mais à partir d'une bibliothèque tierce liée aux fichiers MKV, qui a été corrigée pendant des mois:
À propos du "problème de sécurité" sur #VLC : VLC n'est pas vulnérable.
tl; dr: le problème se trouve dans une bibliothèque tierce, appelée libebml, qui a été corrigée il y a plus de 3 mois.
VLC depuis la version 3.0.3 a la bonne version expédiée, et @MITREcorp n'a même pas vérifié leur réclamation.Fil:
- VideoLAN (@videolan) 24 juillet 2019
"A propos de la 'faille de sécurité' dans #VLC": VLC n'est pas vulnérable. tl; dr: le bogue se trouve dans une bibliothèque tierce, appelée libebml, qui a été corrigée il y a plus de 16 mois. VLC livre la bonne version depuis la 3.0.3, et Mitre n'a même pas vérifié ce qu'il a publié »
Un bug très difficile à exploiter
La société qui développe l'un des acteurs les plus populaires de la planète a également une autre plainte: comment est-il possible que un pépin qui ne peut pas être exploité a obtenu une note de 9.8 sur 10 sur l'échelle de dangerosité? Ils disent aussi que, dans le pire des cas, il est impossible de voler des données de l'ordinateur ou d'exécuter du code à distance, le plus grave étant de provoquer un «crash» du système d'exploitation.
VideoLan déjà utilisé un patch qui résout un l'échec qu'ils disent qu'il n'existe plus sur votre lecteur. Ils assurent qu'il est corrigé depuis VLC v3.0.3, mais il y a seulement quelques minutes, ils ont marqué ce patch comme "fermé". La vérité est que la 3.0.3 apparaît comme la version affectée. Comme si cela ne suffisait pas, le NIST a modifié entrée à propos de cette vulnérabilité en disant que «Cette vulnérabilité a été modifiée depuis sa dernière analyse par NVD. Vous attendez une nouvelle analyse susceptible d'entraîner de nouvelles modifications des informations fournies", Ce qui signifie que les premières analyses ne sont pas correctes.
Certains disent qu'il est super dangereux d'utiliser VLC, il a même été recommandé de le désinstaller, d'autres disent qu'il faut vérifier ce qui est publié et que le bogue n'existe pas, d'autres modifient leurs articles d'origine ... La seule chose sûre est que je ne désinstalle pas VLC.