Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Des failles dans VLC ? « Du vent » pour Jean-Baptiste Kempf

Du vent qui passe par les brèches ?
Internet 2 min
Des failles dans VLC ? « Du vent » pour Jean-Baptiste Kempf

Depuis quelques jours, on peut lire çà et là que des failles de sécurité seraient présentes dans le lecteur multimédia VLC. Via des fichiers spécialement conçus, il serait possible d'exécuter du code de manière arbitraire. Néanmoins, les choses sont loin d'être aussi simples. Explications.

Vendredi 16 janvier, Veysel Hataş publiait un billet sur Seclists.org où il annonçait que VLC 2.1.5 contiendrait une importante faille de sécurité. L'exposé des faits était particulièrement inquiétant puisqu'il expliquait que, sur Windows XP SP3 et via un fichier .FLV ou .M2V piégé, il serait possible de « corrompre la mémoire et de potentiellement exécuter du code arbitraire ».

Deux tickets (ici et ) ont été ouverts sur le bug tracker de VideoLAN... avant d'être rapidement fermés par Jean-Baptiste Kempf, le président de l'association, pour une raison simple : « ce n'est PAS un bug de VLC, mais de la bibliothèque Libavcodec. Assigner un CVE [Common Vulnerabilities and Exposures] à VLC est tout simplement faux » tonne-t-il. Il ajoute au passage que les fichiers binaires de VLC en version 2.2.0-RC2 corrigent déjà le problème, sans pour autant préciser comment. Pour rappel, la version stable est actuellement en 2.1.5.

Contacté par nos soins, Jean-Baptiste Kempf revient sur cette histoire :  « C'est toujours la même chose avec ces failles de sécurité : il y a un mec qui dit "j'ai une faille de sécurité", et tout le monde la reporte, sans jamais vérifier... ». De son côté, il a évidemment essayé de reproduire ce bug, sans succès apparemment. Même son de cloche chez Thomas Nigro, qui se présente comme développeur de VLC pour Windows.

Au final, il semblerait donc que cette histoire fasse beaucoup de bruit pour pas grand-chose. « C'est du vent » lâchera même Jean-Baptiste Kempf. Jusqu'à présent personne n'a été en effet en mesure de reproduire le bug annoncé par Veysel Hataş. Reste maintenant à voir si ce dernier va apporter de nouvelles informations. Comme toujours, n'hésitez pas à nous faire part de vos retours via les commentaires.

181 commentaires
Avatar de Inny Abonné
Avatar de InnyInny- 22/01/15 à 17:39:45

Hâte de tester cette 2.2 en tout cas. :smack:

Avatar de yunyun INpactien
Avatar de yunyunyunyun- 22/01/15 à 17:45:06

Ce n'est pas un bug VLC mais la version 2.2 corrige le problème ? :keskidit:

Avatar de Konrad INpactien
Avatar de KonradKonrad- 22/01/15 à 17:46:06

Je connaissais le c cédille, mais pas le s cédille, merci :yes:

Avatar de typhoon006 INpactien
Avatar de typhoon006typhoon006- 22/01/15 à 17:47:12

Soit ils ont corrigé et recompilé la lib 
Soit ils utilisent une nouvelle version de la lib qui corrige le problème 

Avatar de Nikodym INpactien
Avatar de NikodymNikodym- 22/01/15 à 17:47:53

Le titre... :roll:

yunyun a écrit :

Ce n'est pas un bug VLC mais la version 2.2 corrige le problème ? :keskidit:

Oui. VLC corrige malgré tout le problème lié à la bibliothèque incriminée qui n'est pas du ressort du premier.

Avatar de baldesarini Abonné
Avatar de baldesarinibaldesarini- 22/01/15 à 17:50:12

Le turc possède cette lettre qui est l'équivalent de notre "ch". En tchèque si mes souvenirs sont bons, il y a des c et s avec un accent circonflexe inversé en bas et attaché à la lettre.

Avatar de tazvld Abonné
Avatar de tazvldtazvld- 22/01/15 à 17:50:43

Lapin tout compris. En Gros, VLC utilise une bibliothèque tiers qui possède une vulnérabilité ?
JB, ou quelqu'un d'autre, peux-tu, nous expliquer avec un peu plus en détail. Cette bibliothèque, elle vient d'où ?

Avatar de ar7awn Abonné
Avatar de ar7awnar7awn- 22/01/15 à 17:53:46

qui utilise du .M2V? :ooo:

Avatar de Konrad INpactien
Avatar de KonradKonrad- 22/01/15 à 17:56:31

tazvld a écrit :

Lapin tout compris. En Gros, VLC utilise une bibliothèque tiers qui possède une vulnérabilité ?
JB, ou quelqu'un d'autre, peux-tu, nous expliquer avec un peu plus en détail. Cette bibliothèque, elle vient d'où ?

Si je ne me trompe pas VLC se base sur les codecs de ffmpeg (libavcodec) pour lire les fichiers vidéos. La faille se trouverait dans libavcodec, et non dans VLC en lui-même. En toute logique il faudrait donc rapporter le bug aux équipes de ffmpeg.

J'espère ne pas dire trop de bêtises, JB ou un autre vrai développeur me corrigera si je me trompe :transpi:

Avatar de Starbetrayer INpactien
Avatar de StarbetrayerStarbetrayer- 22/01/15 à 17:57:25

+1

Il n'est plus possible de commenter cette actualité.
Page 1 / 19