Depuis quelques jours, on peut lire çà et là que des failles de sécurité seraient présentes dans le lecteur multimédia VLC. Via des fichiers spécialement conçus, il serait possible d'exécuter du code de manière arbitraire. Néanmoins, les choses sont loin d'être aussi simples. Explications.
Vendredi 16 janvier, Veysel Hataş publiait un billet sur Seclists.org où il annonçait que VLC 2.1.5 contiendrait une importante faille de sécurité. L'exposé des faits était particulièrement inquiétant puisqu'il expliquait que, sur Windows XP SP3 et via un fichier .FLV ou .M2V piégé, il serait possible de « corrompre la mémoire et de potentiellement exécuter du code arbitraire ».
Deux tickets (ici et là) ont été ouverts sur le bug tracker de VideoLAN... avant d'être rapidement fermés par Jean-Baptiste Kempf, le président de l'association, pour une raison simple : « ce n'est PAS un bug de VLC, mais de la bibliothèque Libavcodec. Assigner un CVE [Common Vulnerabilities and Exposures] à VLC est tout simplement faux » tonne-t-il. Il ajoute au passage que les fichiers binaires de VLC en version 2.2.0-RC2 corrigent déjà le problème, sans pour autant préciser comment. Pour rappel, la version stable est actuellement en 2.1.5.
Contacté par nos soins, Jean-Baptiste Kempf revient sur cette histoire : « C'est toujours la même chose avec ces failles de sécurité : il y a un mec qui dit "j'ai une faille de sécurité", et tout le monde la reporte, sans jamais vérifier... ». De son côté, il a évidemment essayé de reproduire ce bug, sans succès apparemment. Même son de cloche chez Thomas Nigro, qui se présente comme développeur de VLC pour Windows.
Au final, il semblerait donc que cette histoire fasse beaucoup de bruit pour pas grand-chose. « C'est du vent » lâchera même Jean-Baptiste Kempf. Jusqu'à présent personne n'a été en effet en mesure de reproduire le bug annoncé par Veysel Hataş. Reste maintenant à voir si ce dernier va apporter de nouvelles informations. Comme toujours, n'hésitez pas à nous faire part de vos retours via les commentaires.
