Deux failles de sécurité relativement importantes ont été découvertes dans VLC, le fameux lecteur multimédia gratuit et open source.
La première faille a été découverte par Michal Luczaj, mais des informations supplémentaires ont été apportées ensuite par Luigi Auriemma. Elle concerne trois fonctions, « ParseMicroDvd() », « ParseSSA() » et « ParseVplayer() » qui sont utilisées pour la gestion des sous-titres. Mais elles peuvent être également employées pour mener le logiciel à un dépassement de mémoire tampon, et à une exposition de données sensibles.
L’autre faille a été découverte par Luigi Auriemma, et concerne un problème de format de chaînes de caractères dans l’interface web. Si l’écoute du port 8080 est active (elle ne l’est pas par défaut), une requête HTML spécifiquement conçue peut être utilisée pour provoquer une exécution de code arbitraire à distance.
Ces deux failles ont été trouvées dans la version 0.8.6d. La mouture « e » sortie récemment corrige le second problème, et une partie du premier seulement. Il est donc recommandé de migrer rapidement vers la dernière version, en attendant qu’une nouvelle évolution vienne corriger définitivement toutes les fonctions affectées. Il faudra pour cela mettre à jour la bibliothèque Xine dont une version quelque peu ancienne est utilisée.
http://www.videolan.org/vlc/
