Il y a quelques jours, le groupe de sécurité Talos de Cisco publiait un avertissement : une faille critique avait été repérée dans les bibliothèques open source LIVE555 Streaming Media de Live Networks.

Focalisées sur le streaming, elles sont utilisées dans de nombreux autres projets, dont VLC et MPlayer, mentionnés par Cisco. Une mention qui a fait dire à une bonne partie de la presse (dans le sillage de The Hacker News) qu’une faille dans VLC permettait de pirater un ordinateur à distance.

La faille repérée par Cisco est réelle et permet effectivement une attaque à distance, via une corruption de la mémoire et une prise de contrôle si elle est correctement exploitée. Mais si VLC utilise bien LIVE555, il ne le fait que partiellement, comme nous l’a expliqué le président de VideoLAN, Jean-Baptiste Kempf.

La vulnérabilité réside en effet dans le composant serveur RTSP. Or, VLC utilise le sien propre et ne sert que de la partie cliente. Même chose pour MPlayer.

Le sujet a donc rapidement pris de l’ampleur, avant de retomber comme un soufflé, laissant VideoLAN afficher une certaine colère face à l’actualité.

En résumé, VLC et MPlayer n’ont pas de faille, et celle existante dans la partie serveur RTSP de LIVE555 a été corrigée.