VLC : il n'y avait pas de faille de sécurité critique !

Le par  |  12 commentaire(s)
VLC

L'association VideoLAN est très remontée après l'alerte au sujet d'une soi-disant vulnérabilité de sécurité critique et majeure affectant la plus récente version de VLC. Ce n'était pas le cas.

Il y a manifestement eu un emballement médiatique et d'une frange de la communauté de la sécurité informatique autour de la soi-disant vulnérabilité de sécurité critique affectant le célèbre et populaire lecteur multimédia libre VLC.

Légitimement en colère, VideoLAN - l'association qui développe et distribue VLC - dégonfle cette affaire.

Le problème de sécurité était en rapport avec une bibliothèque logicielle tierce libebml pour laquelle la vulnérabilité en question a été corrigée il y a plus de seize mois. Depuis sa version 3.0.3 sortie il y a maintenant plus d'un an, VLC n'est pas vulnérable.

VideoLAN pointe du doigt l'organisme américain MITRE qui a attribué un numéro CVE sans retour des mainteneurs du projet et le CERT-Bund allemand qui a repris l'alerte (révisée depuis) sans vérifier la vulnérabilité. Sans compter le NIST (qui a publié une note avec en cause un module pour MKV), des titres d'articles alarmistes en prennent aussi pour leur grade.

À l'origine de tout ce tumulte, il y a un rapport dans le bug tracker de VideoLAN d'un utilisateur qui avait recours à une ancienne version d'Ubuntu et avec des bibliothèques logicielles qui n'étaient pas à jour. Il n'a pas été possible de reproduire le bug et sans plantage d'aucune sorte de VLC.

" Si vous signalez un problème de sécurité, mettez au moins à jour votre distribution Linux ", écrit Jean-Baptiste Kempf, le président de VideoLAN. Quant au score de 60 % pour l'état d'avancement de la résolution de la vulnérabilité, c'était une information fantasque du rapporteur du bug.

VideoLAN regrette par ailleurs le fait qu'avec des dépassements de mémoire tampon non exploitables à distance, le score CVSS de criticité attribué à VLC (qui est aussi un serveur) est systématiquement de 9,8.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2073473
le problème de la trop grande masse d'infos qui circulent sans contrôle et de la recherche au scoop a tout prix ...

bravo VLC pour le sang froid et la réponse détonante bien envoyée
Le #2073474
Le problème est que pour une grande partie des utilisateurs, ne sera retenu comme seul info que vlc est vulnérable.
Le #2073478
Le #2073480
Une bonne rumeur de la business intelligence Américaine pour tuer les concurrents !
Un classique de chez classique.
Le #2073492
Magic2016 a écrit :

Une bonne rumeur de la business intelligence Américaine pour tuer les concurrents !
Un classique de chez classique.


C"est un complot je vous dis



Ps. Le pouce vert est une erreur
Le #2073494
Vous avez lancé la vidéo présent sur le bugtracker de VLC ? Perso, mon VLC 3.0.4 plante
Le #2073496
OkLeMonde a écrit :

Vous avez lancé la vidéo présent sur le bugtracker de VLC ? Perso, mon VLC 3.0.4 plante


D'un autre côté, la dernière version (bureau) est la 3.0.7.. une màj s'impose?
Le #2073501
OkLeMonde a écrit :

Vous avez lancé la vidéo présent sur le bugtracker de VLC ? Perso, mon VLC 3.0.4 plante


met simplement vlc a jour vers la dernière version en date, soit la 3.0.7.1, plus de crash après ça.

http://download.videolan.org/pub/videolan/vlc/3.0.7.1/

La 3.0.4 est sortie le 21/08/2018, il est temps de passé un petit coup de maj général, si déja, pas que vlc ça pourrais etre pas mal pour ce qui ne dispose pas de maj automatique.
Le #2073526
Thomm a écrit :

Magic2016 a écrit :

Une bonne rumeur de la business intelligence Américaine pour tuer les concurrents !
Un classique de chez classique.


C"est un complot je vous dis



Ps. Le pouce vert est une erreur


C'est sur qu'en ce moment et depuis 50 ans les américains ne nous depecent pas..... ils sont bienveillant !
Le #2073538
J'utilise MPC-HC bien suffisant dans mon cas.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme