Alerte aux failles de sécurité pour VLC media player

Une faille de sécurité critique a été découverte, et corrigée, dans VLC media player. La mise à jour devra être réalisée sans tarder.

VLC media player est un véritable couteau suisse open source du monde multimédia. Utilisé en général pour ses fonctionnalités de lecture, il pourra aussi transcoder et diffuser des médias.

L’équipe responsable de ce projet diffuse aujourd’hui une mise à jour de maintenance, estampillée 1.1.9. Elle corrige une faille critique qui touche le support du conteneur Mpeg4 (que les données distribuées soient de type audio ou vidéo). La lecture de fichiers MP4 peut ainsi provoquer un dépassement de tampon mémoire, menant directement au plantage de l’application. Une corruption de la mémoire a pu être constatée. C’est une voie ouverte pour le lancement de code tiers sur la machine de l’utilisateur, ce qui peut mener à sa prise de contrôle à distance par un pirate. Un risque d’autant plus élevé que le logiciel propose des greffons de lecture multimédia pour les navigateurs web.

Toutes les versions de VLC media player depuis la 1.0 sont concernées par ce bogue. La mise à jour de l’application est donc vivement recommandée.
Les développeurs ont profité de la sortie de cette mouture pour corriger une autre faille, qui est liée à la librairie modplug et touche Windows et Mac OS X. Ils ont également apporté plusieurs retouches à l’interface utilisateur dédiée à Mac OS X, qui avait été refondue avec VLC media player 1.1.8.

Lire aussi : 200 millions de players vidéo à la merci d’une attaque… via le sous-titrage