Sécurité: mise à jour critique pour VLC media player

Le lecteur multimédia open source VLC media player, un outil rendu célèbre par son universalité et sa richesse, passe aujourd’hui en mouture 1.0.6. Attention, car si cette dernière a été annoncée sur le site du projet, les liens pointent encore sur l’ancienne version (à l’heure où nous écrivons ces lignes, seul le code source est disponible).

Et pourtant, la mouture 1.0.6 de VLC media player est une mise à jour importante. De fait, elle corrige plusieurs vulnérabilités, qui sont toutes importantes. La plus grave touche le support RTMP (Real Time Messaging Protocol). Un dépassement de tampon a pu être constaté : l’application peut alors planter, ce qui ouvre la voie à l’exécution de code arbitraire sur la machine de l’utilisateur, bref, à sa prise de contrôle à distance.

D’autres problèmes similaires ont été corrigés dans les décodeurs audio A/52, DTS et MPEG audio, dans les démultiplexeurs liés aux formats ASF, AVI, et MKV, dans le format de liste de lecture XPSF et dans le module permettant de décompresser les archives au format Zip. Évidemment, ces vulnérabilités poseront principalement problème si vous lisez une ressource réseau.

Ces failles étant critiques, nous espérons que la mise à jour ne tardera pas à arriver sur les serveurs. Les responsables du projet précisent par ailleurs que ces problèmes ont été corrigés dans VLC media player 1.1.0, la future version de cet outil open source, qui prendra en charge l’accélération graphique.