Sortie de VLC Media Player 3.0.11: correction d’une grave erreur d’exécution de code à distance
La mise à jour de VLC Player inclut des correctifs pour les failles d’exécution de code à distance
Selon certaines sources, le VideoLan a publié une nouvelle version de son lecteur multimédia largement utilisé nommé VLC Media Player 3.0.11 qui est également disponible pour différentes plates-formes comme Windows, Mac et Linux. Cette nouvelle mise à jour comprend diverses corrections de bogues et améliorations, mais elle comporte également une vulnérabilité de sécurité corrigée qui pourrait conduire les pirates à exécuter des commandes ou à bloquer VLC sur des ordinateurs vulnérables.
La vulnérabilité susmentionnée dans VLC est suivie comme CVE-2020-13428 et est également appelée «débordement de tampon dans le packetizer H26X de VLC», ce qui permettrait aux pirates d’exécuter diverses commandes, ce qui est également sous le même niveau de sécurité que l’utilisateur, mais si ceux-ci les vulnérabilités sont correctement exploitées.
Selon les rapports de VideoLan, cette vulnérabilité mentionnée peut être exploitée en créant un fichier spécialement développé et en obligeant un utilisateur ciblé à cliquer sur le fichier pour l’ouvrir avec VLC.
De plus, la société doit dire que la vulnérabilité conduira sûrement le joueur à se bloquer, mais elle pourrait également être utilisée par les attaquants comme mentionné pour exécuter des commandes à distance. Voici la déclaration de VideoLan:
«En cas de succès, un tiers malveillant pourrait déclencher un crash de VLC ou une exécution de code arbitraire avec les privilèges de l'utilisateur cible. Bien que ces problèmes en eux-mêmes soient le plus susceptibles de planter le lecteur, nous ne pouvons pas exclure qu'ils puissent être combinés pour divulguer des informations utilisateur ou exécuter du code à distance. ASLR et DEP aident à réduire la probabilité d'exécution de code, mais peuvent être contournés. Nous n'avons pas vu d'exploits effectuer l'exécution de code à travers ces vulnérabilités »
Depuis les vulnérabilités discutées et sa divulgation au public concernant le code problématique, il est suggéré à tous les utilisateurs de télécharger et d’installer la dernière version de VLC sur leur machine. Voici mentionné le journal des modifications complet pour la nouvelle version:
Corrige les régressions HLS Corrige un crash potentiel au démarrage sur macOS Corrige la recherche imprécise dans les fichiers m4a Correction du rééchantillonnage sur Android Corrige un plantage lors de la liste des points de montage bluray sur macOS Évitez les avertissements d'autorisation inutiles sur macOS Correction du silence permanent sur macOS après une pause de lecture Corrige la régression de lecture AAC Et un problème de sécurité