Développé en open source par VideoLAN, le logiciel multimédia VLC ne serait pas exempt de vulnérabilités. Deux d'entre elles ont été découvertes récemment. Les détails ont été publiés sur la liste de diffusion officielle Full Disclosure.
Le hacker Veysel Hatas explique que l'application peut être compromise avec des fichiers FLV et M2V, spécifiquement conçus pour corrompre la mémoire du système. Le hacker peut ensuite exécuter du code distance. Ces découvertes ont été réalisées au mois de novembre et rapportées aux administrateurs de VideoLAN le 26 décembre.
M. Hatas explique avoir porté ses recherches sur la dernière version en date de VLC (2.1.5) et sur Windows XP SP3, un OS dont le support officiel est arrêté depuis le mois d'avril 2014 et dont la part de marché représente à l'heure actuelle 18,26% selon les derniers chiffres de NetMarketShare. Il n'est pas précisé si les versions ultérieures du système de Microsoft sont également affectées. De son côté, VideoLAN n'a pas (encore ?) déployé de correctif.
Mise à jour:
Thomas Nigro, qui se présente comme l'un des développeurs de VLC sur Windows Phone et Windows RT, nous interpelle en expliquant avoir procédé à des tests sur Windows XP avec les fichiers concernés sans pour autant avoir trouvé ces vulnérabilités.
Thomas Nigro, qui se présente comme l'un des développeurs de VLC sur Windows Phone et Windows RT, nous interpelle en expliquant avoir procédé à des tests sur Windows XP avec les fichiers concernés sans pour autant avoir trouvé ces vulnérabilités.