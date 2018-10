Les bibliothèque de ces lecteurs fonctionnent avec les protocoles RTP / RTCP, RTSP ou SIP, permettant de traiter des formats vidéo et audio tels que MPEG, H.265, H.264, H.263 +, VP8, DV, JPEG, MPEG, AAC, AMR, AC-3, et Vorbis.

Nos confrères de Hackread indiquent que la faille de sécurité a rendu des millions d’utilisateurs de lecteurs multimédias vulnérables aux cyberattaques, selon Lilith Wyatt, chercheuse au Cisco Talos Intelligence Group. Dans ce cas, la faille réside dans la fonctionnalité d’analyse des paquets HTTP, qui analyse les en-têtes HTTP pour le tunneling RTSP sur HTTP, explique

« Un paquet spécialement conçu peut provoquer un débordement de tampon basé sur la pile, entraînant l’exécution du code. Un attaquant peut envoyer un paquet pour déclencher cette vulnérabilité », explique Wyatt dans son blog.

Une faille précédente de VLC Player utilisée par… la CIA !

Ce n’est cependant pas la première fois qu’un lecteur multimédia aussi populaire que VLC fait la une des journaux pour les mauvaises raisons. On avait déjà identifié des failles de sécurité critiques dans la version 2.0.5 et les versions antérieures qui auraient pu être exploitées par des pirates pour exécuter du code malveillant sur des ordinateurs via des fichiers ASF.

De plus, les documents divulgués par WikiLeaks avaient montré comment la CIA a utilisé de faux lecteurs VLC pour voler les données d’un appareil infecté. Le document révèle également que les agents de la CIA ont utilisé un outil pour exploiter une ancienne version modifiée du lecteur multimédia VLC. L’outil décrit a rassemblé des documents à partir d’un ordinateur ou d’un réseau et, pour masquer son activité, fonctionnait dans VLC Portable 2.1.5 sur les plates-formes Microsoft Windows.

Une mise à jour a déjà été publiée pour remédier à cette vulnérabilité. Par conséquent, si vous utilisez l’un des lecteurs multimédias vulnérables, assurez-vous qu’il est mis à jour avec la dernière version.