Le nouveau VLC 3.0.11 corrige une faille critique

Publié le

VideoLan a publié la mise à jour du très populaire lecteur multimédia VLC. Le logiciel passe désormais en version 3.0.11. Cette mise à jour disponible pour les ordinateur Windows, macOS et Linux apporte quelques améliorations, mais corrige aussi une faille critique qui pourrait permettre à des attaquants d’exécuter des commandes à distances ou de bloquer le fonctionnement du logiciel sur une machine.

Cette vulnérabilité connue sous le nom de CVE-2020-13428 affecte la mémoire tampon au niveau de l’empaquetage H26x de VLC. Correctement exploitée, cette faille permet à des attaquant de commander une machine à distance en exécutant des commandes en élevant leurs privilèges au même niveau que celui de la victime. En d’autres termes, si un utilisateur est administrateur sur Windows et qu’il se fait attaquer via cette faille, l’attaquant peut lui aussi s’attribuer des privilèges d’administrateur Windows.

Dans son bulletin de sécurité, VideoLan explique que la vulnérabilité peut être exploitée en créant un fichier dédié et en incitant l’utilisateur à l’ouvrir avec VLC. VideoLan déclare que la faille en question est susceptible de faire planter le lecteur. L’organisation alerte aussi sur le fait qu’un exploit peut déclencher l’exécution d’un code arbitraire avec les privilèges de l’utilisateur cible :

Bien que ces problèmes en eux-mêmes soient les plus susceptibles de faire planter le lecteur, nous ne pouvons pas exclure qu’ils puissent être combinés pour récupérer les informations des utilisateurs ou exécuter du code à distance. L’ASLR et le DEP contribuent à réduire la probabilité d’exécution du code, mais peuvent être contournés. Nous n’avons pas vu d’exploits permettant l’exécution de code à travers ces vulnérabilités

VideoLan

Etant donné qu’il s’agit d’un problème critique, nous recommandons vivement aux utilisateurs de VLC de télécharger la dernière version du logiciel (3.0.11) afin de se prémunir.

Source : VideoLan

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet