Les chercheurs de Cisco Talos sont allés un peu vite en besogne lorsqu’ils ont communiqué sur une faille critique dans LIVE555, une librairie utilisée pour gérer des connexions de streaming vidéo RTSP (Real Time Streaming Protocol). Contrairement à ce que laissait supposer leur note de blog, VLC et MPlayer n’étaient pas vulnérables. La faille trouvée dans LIVE555 résidait dans la partie serveur. Or, ces deux lecteurs multimédias n’embarquent que la partie client de cette librairie. C’est l’auteur de LIVE555 en personne qui l’a précisé sur le forum Slashdot. « VLC dispose d’un serveur RTSP embarqué, mais il utilise une implémentation différente, pas celle de LIVE555 », précise ainsi Ross Finlayson.
Article publié à 8h38
Une faille critique dans VLC permet de pirater votre ordinateur à distance
Un bug dans une librairie intégrée permet d’exécuter du code arbitraire à distance, simplement en envoyant un paquet Internet malformé.
Attention au streaming dans VLC. Les chercheurs en sécurité de Cisco Talos ont récemment découvert une faille critique dans l’une des librairies utilisées par le célèbre lecteur multimédia, en occurrence « LIVE555 ». Celle-ci sert à gérer des connexions qui s’appuient sur le protocole Real Time Streaming Protocol (RTSP). Un bug dans cette librairie permettait de provoquer un dépassement de mémoire tampon et, par conséquent, une exécution de code arbitraire. Il suffisait, pour cela, de simplement envoyer vers l’ordinateur ciblée un paquet malformé. Un scénario qui autorise donc le piratage à distance d’une machine.
La faille a été colmatée par le mainteneur de cette librairie, Live Networks, depuis de 17 octobre. C’est pourquoi Cisco Talos s’est permis de publier les détails techniques de ce bug. Néanmoins, il n’est pas certain que le correctif a été répercuté dans VLC. La dernière mise à jour de VLC date en effet du 31 août 2018 (3.0.4). La prudence est donc de mise en attendant d’avoir confirmation. Cette librairie est également intégrée dans MPlayer, un autre lecteur multimédia.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.