VLC Media Player touché par deux vulnerabilités critiques

Populaire pour sa légèreté et ses capacités de lecture étendues via l'intégration de nombreux codecs, le lecteur multimédia libre et multi-plateforme VLC Media Player est actuellement victime de deux vulnérabilités, comme le rapporte la société danoise de sécurité Secunia, dans un bulletin d'alerte qualifié de hautement critique.

Ces vulnérabilités exploitables à distance et susceptibles de permettre l'exécution de code arbitraire, affectent la dernière version 0.8.6d de VLC et à priori toutes les versions antérieures (pour l'ensemble des OS).

Elles sont dues à une erreur de traitement lors de la manipulation de certains sous-titres par des fonctions spécifiques (débordement de tampon) et à une erreur de format chaîne dans l'interface Web (écoute* sur le port TCP 8080 et exploitation via une requête HTTP spécialement conçue).

A noter que ces trous de sécurité ont d'ores et déjà été corrigés dans le dépôt SVN. La sortie d'une nouvelle mouture de VLC Media PLayer paraît donc imminente.


* désactivée par défaut.