Deux failles de sécurité découvertes dans VLC (ou pas)
Publié le 21/01/2015 - Source : Tom's Hardware
VLC, l'incontournable lecteur vidéo universel et multiplateforme, a beau avoir des origines françaises, il n'est pas parfait. Un chercheur en sécurité, Veysel Hatas, a déniché deux failles dans la dernière version du lecteur. Cependant son rapport est contesté par les développeurs de VideoLAN.
Selon Hatas, les deux failles sont similaires et sont déclenchées par des fichiers flv (pour la première) ou m2v (pour la seconde) spécifiquement détournés. Elles peuvent résulter en une corruption de la mémoire gérée par l'application puis l'exécution de n'importe quel code, potentiellement dangereux.
L'équipe de VideoLAN ne conteste pas l'existence des failles, mais précise qu'elles existent au sein de la bibliothèque libavcodec, employée par VLC et d'autres lecteurs pour décoder la plupart des flux vidéos. Pointer VLC du doigt n'est donc pas justifié pour Jean-Baptiste Kempf. En outre, la gravité de ces failles n'est pas encore clairement établie. Les versions de test de VLC 2.2 ne sont pas touchées, car elles utilisent une version plus récente - et corrigée - de libavcodec. En outre, VideoLAN n'aurait pas réussi à reproduire les bugs rapportés par Veysel Hatas sous Windows 7. Le chercheur a, lui, utilisé Windows XP.