Un chercheur travaillant pour Cisco Talos a déclaré avoir découvert une faille dans un des protocoles utilisés par VLC et d'autres lecteurs vidéo. C'est une fausse alerte.

Un chercheur en sécurité de Cisco Talos vient de publier les détails d'une faille qui impacte le logiciel VLC. L'une des librairies utilisées par le lecteur vidéo, LIVE555, intégrerait selon lui un bogue permettant de saturer la mémoire tampon. Cette même librairie est également utilisée par d'autres logiciels vidéo, MPlayer par exemple.  Mais c'est en réalité une fausse alerte.

Le chercheur de Cisco Talos détaille les vulnérabilités potentielles avec précision : une des fonctions principales de LIVE555 est de passer un flux RTSP (Real Time Streaming Protocol) par un canal HTTP. Un pirate pouvait cependant créer plusieurs demandes d'autorisation, saturant le canal. Un code pouvait ainsi passer à travers sans être contrôlé et être exécuté directement sur la machine.

Le 10 octobre, cette faille a été signalée au créateur de LIVE555, Live Networks, et une semaine plus tard, elle était corrigée, ce qui a permis à Cisco Talos de publier ce communiqué.

Mais tout n'est pas réglé, car du côté de VLC, aucune mise à jour n'a été effectuée depuis le mois d'août. Des risques de piratage sont donc encore possibles, et il faudra ainsi prêter une attention accrue à tout ce qui peut être téléchargé et lisible par un lecteur vidéo, sous-titres compris. Pour rappel, ces derniers avaient déjà été signalés, car souvent négligés par l'utilisateur qui les voit comme un fichier texte totalement inoffensif.