Des failles dans VLC permettaient de faire planter l’application ou d’exécuter du code
Le 24 juin 2019 à 09h48
1 min
Logiciel
Logiciel
VideoLAN a publié un bulletin de sécurité pour des failles dans VLC 3.0.6 et versions antérieures. Il est indiqué qu'un « utilisateur distant peut créer des fichiers avi ou mkv spécialement conçus qui, lorsqu'ils sont chargés par l'utilisateur cible, vont provoquer un débordement de la mémoire tampon ».
Leur exploitation nécessite qu'un utilisateur « ouvre explicitement un fichier ou un flux spécialement conçu ». Dans la première version du bulletin, il était indiqué qu' « ASLR et DEP aident à réduire les risques, mais peuvent être contournés », mention qui a disparu.
Le bulletin affirme que VLC 3.0.7 corrige ces failles, mais ce n'est pas tout. Lors de la mise à jour, une précision a été ajoutée : « Cette version corrige également un problème de sécurité important pouvant entraîner l'exécution de code lors de la lecture d'un fichier AAC ».
Il est, comme toujours, recommandé de mettre à jour le lecteur multimédia avec la dernière version disponible, la 3.0.7 en l'occurrence. Pour rappel, celle-ci corrige pas moins de 33 failles.
Le 24 juin 2019 à 09h48
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/06/2019 à 09h16
Juste non.
Y a 30+ failles que on a corrigé en 3.0.7, et ces 2 failles là sont plutôt dans le bas/milieu du panier.
La seconde, c’est MITRE qui fume totalement, en mettant un 9.8 à un double-free. Oui, ça peut crasher, mais non, ce n’est pas exploitable du tout, avec l’ASLR (et le HeASLR en 64bits).
Y a une faille en 3.0.7 qui est high, mais clairement aucune de ces 2 là.
Le 24/06/2019 à 09h38
La conclusion est la même : il faut mettre à jour sans traîner " />
Merci pour la précision, et pour le boulot sur le lecteur !
Le 24/06/2019 à 09h42
Il faut toujours mettre à jour.
Le 24/06/2019 à 09h51
bien sûr :-)
Petite question : vous utilisez des outils d’analyse de qualité de code pour identifier les éventuels problèmes ?
Le 24/06/2019 à 09h54
Plein: statique, dynamique, code coverage, fuzzing.
Le 24/06/2019 à 10h01
Le 24/06/2019 à 10h21
non. Juste imprécise. Et c’est surtout parce qu’on arrive pas à discuter avec les gens de MITRE: on n’est pas assez gros pour avoir ce droit. Donc, c’est l’enfer à chaque faille…
Le 24/06/2019 à 11h11
Heureusement qu’il y a MPC-HC.
Le 24/06/2019 à 11h39
" />
Le 24/06/2019 à 12h07
Les vrais utilisent Windows Media Player avec les codecs qui vont bien.
Le 24/06/2019 à 13h20
Realtek Media Player ou Quicktime player, largement plus performant et ergonomiques
/troll>
Sinon merci jb et l’équipe VLC pour tout votre travail !
Le 24/06/2019 à 14h38
Le 24/06/2019 à 18h06
Tout à fait, il n’y a jamais aucun bug dans libavcodec, ils sont tous dus à VLC.
Le 27/06/2019 à 13h39
Pour moi, les 2 sont medium.
Y a une faille high dans la 3.0.6, qui est dûe à une dépendance, qui est un OOB write.