Le Computer Emergency Response Team (CERT-Bund) de l'Allemagne a publié un avis de sécurité pour alerter les utilisateurs de VLC media player d'une grave vulnérabilité affectant ce logiciel open-source extrêmement populaire.
« Un attaquant anonyme peut exploiter à distance la vulnérabilité de VLC pour exécuter du code arbitraire, provoquer un déni de service, exfiltrer des informations ou manipuler des fichiers, » explique le CERT-Bund, qui a découvert cette faille de sécurité.
La faille, qui cible la mémoire, a été trouvée dans la dernière version du lecteur, la 3.0.7.1, mais pourrait également être présente dans ses versions antérieures. Il affecte les versions Windows, Linux et UNIX du programme et a obtenu une note de 4 sur 5 sur l'échelle de gravité de l'agence allemande.
Entre-temps la base de données nationale du NIST sur la vulnérabilité (NVD) définit ce bogue comme « critique », qui est classé 9,8 sur 10 sur l'échelle du Common Vulnerability Scoring System (CVSS). Elle est causée par une condition de surlecture de la mémoire tampon basée sur le tas et relève de l'identificateur CWE-119. Aucun privilège du système et aucune interaction de l'utilisateur ne seraient nécessaires pour une exploitation réussie de la vulnérabilité, qui fait l'objet d'un suivi sous CVE-2019-13615.
Cela dit, le site allemand Heise.de note que l'exploitation peut nécessiter un fichier.mp4 spécialement conçu, bien que ni le CERT-Bund ni la NVD n'en fassent mention.
Il est essentiel qu'un correctif n'ait pas encore été créé et que le calendrier de son déploiement ne soit pas clair. Selon le bugtracker maintenu par le développeur de VLC, VideoLAN, le travail sur la correction a reçu la plus haute priorité. Au moment d'écrire ces lignes, le patch serait complété à 60 %.
Heureusement, aucun exemple d’exploitation de cette vulnérabilité n’a été observé dans la nature à ce jour. Néanmoins, tant que le patch n'est pas expédié, la seule solution de contournement semble peut-être être de s'abstenir d'utiliser complètement le lecteur.
VLC media player a été installé plus de 3,1 milliards de fois sur différents systèmes d'exploitation et différentes versions de ces derniers.