Sur le net
Contrairement à ce qui était indiqué par les chercheurs en sécurité de Cisco Talos, le bug qui existait dans une librairie de streaming n’affectait pas le célèbre lecteur multimédia. Ouf, on est rassuré.
Les chercheurs de Cisco Talos sont allés un peu vite en besogne lorsqu’ils ont communiqué sur une faille critique dans LIVE555, une librairie utilisée pour gérer des connexions de streaming vidéo RTSP (Real Time Streaming Protocol). Contrairement à ce que laissait supposer leur note de blog, VLC et MPlayer n'étaient pas vulnérables.
La faille trouvée dans LIVE555 résidait dans la partie serveur. Or, ces deux lecteurs multimédias n’embarquent que la partie client de cette librairie. C’est l’auteur de LIVE555 en personne qui l’a précisé sur le forum Slashdot. « VLC dispose d’un serveur RTSP embarqué, mais il utilise une implémentation différente, pas celle de LIVE555 », précise ainsi Ross Finlayson.
Une faille critique dans VLC permet de pirater votre ordinateur à distance
Un bug dans une librairie intégrée permet d’exécuter du code arbitraire à distance, simplement en envoyant un paquet Internet malformé.
Attention au streaming dans VLC. Les chercheurs en sécurité de Cisco Talos ont récemment découvert une faille critique dans l’une des librairies utilisées par le célèbre lecteur multimédia, en occurrence « LIVE555 ». Celle-ci sert à gérer des connexions qui s’appuient sur le protocole Real Time Streaming Protocol (RTSP). Un bug dans cette librairie permettait de provoquer un dépassement de mémoire tampon et, par conséquent, une exécution de code arbitraire. Il suffisait, pour cela, de simplement envoyer vers l’ordinateur ciblée un paquet malformé. Un scénario qui autorise donc le piratage à distance d’une machine.
La faille a été colmatée par le mainteneur de cette librairie, Live Networks, depuis le 17 octobre. C’est pourquoi Cisco Talos s’est permis de publier les détails techniques de ce bug. Néanmoins, il n’est pas certain que le correctif a été répercuté dans VLC. La dernière mise à jour de VLC date en effet du 31 août 2018 (3.0.4). La prudence est donc de mise en attendant d’avoir confirmation. Cette librairie est également intégrée dans MPlayer, un autre lecteur multimédia.
Le code à 7 caractères (précédé de « @ ») à côté du Nom est le Code MediaCongo de l’utilisateur. Par exemple « Jeanne243 @AB25CDF ». Ce code est unique à chaque utilisateur. Il permet de différencier les utilisateurs.
Les plus commentés
Société Justice : l'ancien vice-ministre des Hydrocarbures condamné à 20 ans de prison
17.04.2024, 14 commentairesEconomie Acquisition de concession arable à Brazza par le Rwanda : une arme de destruction économique aux portes de Kinshasa (Analyse d'André-Alain Atundu)
18.04.2024, 11 commentairesPolitique Spéculation autour du rôle de Maman Marthe : « Elle incarne la vision prophétique du parti, UDPS, devant guidé l’action politique du Président de la République. » ( Lisanga Bonganga)
19.04.2024, 11 commentairesPolitique Insécurité au Nord-Kivu : la Belgique s’oppose à l’idée de revoir les frontières congolaises sous prétexte d’une médiation
17.04.2024, 9 commentaires
Ils nous font confiance