•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Confusion autour d’une vulnérabilité critique de VLC media player

Le logo de VLC, un cône orange rayé blanc.

Le lecteur multimédia VLC media player est sécuritaire, affirme l'entreprise derrière le logiciel.

Photo : VideoLAN

Radio-Canada

Une firme de sécurité informatique américaine a récemment révélé que le lecteur multimédia VLC media player souffrait d’un important bogue. Mais l’organisme derrière VLC a démenti mercredi l’existence de la vulnérabilité, accusant la firme d’avoir bâclé son travail.

Le billet rapportant la vulnérabilité (CVE-2019-13615 (Nouvelle fenêtre)), déposé le 16 juillet dernier par Mitre, décrit un dépassement de tampon (buffer overflow) ayant pour effet soit de faire planter VLC, soit de permettre l’exécution de code distant. Selon Mitre, la lecture d’un fichier vidéo piégé peut déclencher le bogue.

Sur le répertoire de vulnérabilités NVD, le bogue a un pointage de sévérité de 9,8 sur 10, ce qui correspond à une faille critique. Ce genre de faille nécessite habituellement une réaction immédiate des concepteurs de l’application pour corriger le problème.

Or, VideoLAN, l’organisme chapeautant le développement de VLC, a réfuté les affirmations de Mitre mercredi, soulignant que le bogue avait été corrigé il y a plus d’un an.

D’après VideoLAN (Nouvelle fenêtre), le problème prenait sa source dans une bibliothèque tierce (du code public provenant d’une source externe) appelée libebml. Cette bibliothèque a toutefois été réparée il y a six mois, selon ce qu’affirme VideoLAN, ce qui signifie que la version actuelle de VLC n’est pas vulnérable.

Infraction de l’éthique

Sur Twitter, VideoLAN a réagi de manière véhémente à la divulgation du bogue par Mitre.

« Pour une raison qui nous est inconnue, Mitre a décidé de déposer un billet CVE sans nous contacter au préalable, écrit VideoLAN (Nouvelle fenêtre). Ce comportement est une violation directe [des politiques de CVE]. »

Les règles de création d’un billet CVE (Nouvelle fenêtre) indiquent en effet que les chercheurs en sécurité informatique découvrant un bogue doivent « faire un effort de bonne foi pour alerter le vendeur touché et travailler avec lui pour s’assurer qu’une mise à jour soit émise avant de divulguer la vulnérabilité. »

Ce code d’éthique est habituellement respecté par les chercheurs et il est très mal vu dans la communauté de la sécurité informatique de divulguer un problème sans en avoir préalablement informé le concepteur et sans avoir tenté de l’aider à le régler.

« Ce n’est pas la première fois que Mitre agit ainsi, affirme VideoLAN (Nouvelle fenêtre) sur Twitter. En fait, [Mitre] ne nous contacte JAMAIS lorsqu’elle découvre un problème de sécurité sur VLC, et nous en apprenons toujours l’existence après qu’il ait été rendu public. »

D’après VideoLAN, toutes les versions de VLC depuis la version 3.0.3 sont protégées contre le bogue décrit par Mitre.

Avec les informations de Gizmodo

Cybersécurité

Techno