« Le ciel tombe; désinstallez VLC maintenant! » C’est le conseil que fournissent certains sites Web. Mais la prétendue faille de VLC est exagérée – et, selon les développeurs de VLC, peut même ne pas être un risque réel.
Cette agitation a commencé avec la publication de CVE-2019-13615, qui est marquée comme une vulnérabilité «critique» avec un score de 9,8 sur 10. Les développeurs de VLC ne sont pas contents de n’avoir même pas été contactés avant la publication de cette faille.
Hey @MITREcorp et @CVEnew , le fait que vous ne nous contactez JAMAIS pour des vulnérabilités VLC pendant des années avant la publication n’est vraiment pas cool; mais au moins vous pouvez vérifier vos informations ou vérifier vous-même avant d’envoyer la vulnérabilité CVSS 9.8 publiquement…
– VideoLAN (@videolan) 23 juillet 2019
Mais c’est mauvais, non? C’est 9,8 sur 10 – compte tenu des failles de sécurité, cela ressemble à une attaque nucléaire imminente. Cette faille pourrait entraîner l’exécution de code à distance, ce qui est mauvais. Les attaquants pourraient prendre le contrôle de votre système via un bogue dans VLC.
Comme l’explique le CVE, cette faille nécessite la lecture d’un fichier MKV malformé. En théorie, si vous téléchargez un fichier MKV malveillant à partir du Web et que vous l’exécutez, cela pourrait compromettre VLC – bien que personne ne prétende que cela ne s’est jamais produit dans le monde réel. De plus, la version macOS de VLC ne semble pas être affectée.
Donc, même si cette faille est aussi grave qu’elle apparaît, vous devez juste faire attention aux fichiers MKV – ne téléchargez pas de fichiers MKV non approuvés et lisez-les dans VLC jusqu’à ce qu’un correctif soit publié. Éloignez-vous de MKV si vous piratez des médias.
Mais pas si vite! Les développeurs de VLC disent qu’ils ne peuvent même pas reproduire le problème, suggérant qu’il y a de graves problèmes avec le rapport d’exploit original.
Avez-vous même vérifié cela?
Personne ne peut reproduire ce problème ici.
– VideoLAN (@videolan) 23 juillet 2019
En fin de compte, c’est probablement une bonne idée de rester à l’écart des fichiers MKV téléchargés jusqu’à ce que VLC corrige cette faille. Mais c’est tout ce que vous auriez vraiment besoin de faire, et même cela est un peu paranoïaque.
Comme l’expliquent les développeurs de VLC sur le Suivi des bogues VideoLAN:
« Désolé, mais ce bogue n’est pas reproductible et ne plante pas du tout VLC. » -Jean-Baptiste Kempf
« Si vous arrivez sur ce ticket via un article de presse affirmant une faille critique dans VLC, je vous suggère de lire d’abord le commentaire ci-dessus et de reconsidérer vos (fausses) sources d’informations. » -Francois Cartegnie
« Cela ne plante pas une version normale de VLC 3.0.7.1 » -Jean-Baptiste Kempf
: Voici la réponse plus longue de VideoLAN. Selon les développeurs, il n’y a pas du tout de faille dans le logiciel VLC actuel.
Ainsi, un journaliste a ouvert un bogue sur notre bugtracker, qui est en dehors de la politique de rapport, c’est-à-dire, envoyez-nous un e-mail en privé sur l’alias de sécurité.
Bien sûr, notre bugtracker est public.
Nous n’avons pas pu, bien sûr, reproduire le problème, et avons essayé de contacter le chercheur en sécurité, en privé.
– VideoLAN (@videolan) 24 juillet 2019
