VLC : une faille critique avec les fichiers .WAV

Le par  |  12 commentaire(s) Source : Secunia
vlc logo (Small)

Secunia a découvert dans VLC, logiciel libre de lecture et diffusion audio/vidéo, une faille qualifiée de critique. Un assaillant pourrait grâce à elle prendre le contrôle d'un ordinateur à distance. Il faudra être méfiant avec les fichiers .WAV en attendant le correctif.

vlc logo (Small)VLC Media Player est un logiciel bien connu pour ses performances en tant que lecteur vidéo multiformats. Intégrant directement les bibliothèques du projet FFMPEG, le logiciel n'a en effet pas besoin de codecs pour lire la majorité des vidéos disponibles sur la Toile. Logiciel libre et multiplateformes, VLC prend également en charge de nombreux formats audio, les DVD, (S)VCD, le streaming via  les protocoles  RTSP ou MMS... Il permet  la capture vidéo mais ne s'arrête pas à la simple lecture. VLC est en effet capable d'assurer le rôle de serveur de diffusion, en transcodant le flux ainsi généré en de multiples codecs de sortie.

La société Secunia vient de découvrir une faille qualifiée de " hautement critique " (4/5) dans la dernière version de VLC sous Windows. Il est possible que les versions antérieures soient également affectées. La fonction open() du module WAV de VLC permet en effet un dépassement d'entier. Concrètement, si un utilisateur de VLC ouvre un fichier .WAV spécialement conçu pour exploiter la faille, du code arbitraire pourrait être exécuté et l'assaillant pourrait ainsi prendre le contrôle de l'ordinateur à distance.

Étant donné que le correctif n'est pas encore disponible dans la version stable, Secunia préconise de faire très attention aux fichiers .WAV exécutés avec VLC et de mettre à jour dès que possible le logiciel vers la version 0.8.6i, laquelle corrigera la faille.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #269381
sans module de maj automatique, combien d'utilisateur mettront à jour videolan sur leur pc?

encore une faille qui va grossir les statistiques de failles exploitables via ActiveX (puisque videolan installe son propre controle activex par défaut)... en fin de compte les noobs vont encore gueuler contre les activeX à tort, puisque l'extension mozilla installée par videolan est également vulnérable

il faudrait d'ailleurs préciser dans la news que le fait d'avoir fait une installation par défaut de videolan permet à cette faille d'etre exploitable via un navigateur (firefox, IE6, et eventuellement IE7 si on a explicitement activé le controle activeX videolan)
Le #269451
Pour ouvrir des wav tu prends WMP et voilà...
Le #269561
CodeKiller... Je sais qu'on est vendredi, tu dois être fatigué par une dure semaine, tu penses au week-end, tout ça...

Mais c'est pas une raison pour balancer des trolls aussi velus !!!
Le #269611
"Mais c'est pas une raison pour balancer des trolls aussi velus !!!"

en effet, WMP n'est pas vulnérable, mais si une page web exploite la faille à travers le plug in VLC, tu l'as dans le c*l...
Le #269641
Mauvaise année pour vlc sur le plan de la sécurité
Le #269671
"Mauvaise année pour vlc sur le plan de la sécurité "

VLC pire que QuickTime? non quand meme pas...
Le #269711
link83 >
VLC est quand même un bon player comparé à QuickTime sous Windows.
Le #269721
QuickTime c'est quand même le summum du summum, hors compétition. 8 l'année passée, cette année devrait encore être un grand crû, 4 failles déja, tout comme VLC.

Bah en fait non ... VLC 8 failles en 8 mois. QuickTime ne vaut plus rien, même pas de quoi en faire un record.
Le #269831
"Bah en fait non ... VLC 8 failles en 8 mois. QuickTime ne vaut plus rien, même pas de quoi en faire un record."

cela dit, quicktime détient le record absolu en ratio quantité de failles / quantité de fonctionnalités (peu de formats supportés, ne lit meme pas les videos en plein écran dans sa version gratuite)

vlc en supportant + de codecs a forcément une plus grande surface d'exposition aux failles

allez manque plus qu'une bonne veille faille real player et on aura fait le tour...
Le #270161
et fait quoi en attendent une MàJ ,VLC et mon lecteur multimédia par défaut

wmp 11
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]