Deux vulnérabilité importantes corrigées pour le logiciel VLC Media Player

VideoLAN, créateur du célèbre lecteur de vidéo VLC Media Player, a récemment publié un bulletin de sécurité traitant de deux vulnérabilités dont une critique.

VLC est un célèbre lecteur de médias largement utilisé partout dans le monde. Le logiciel a en effet déjà été téléchargé plus de 3 milliards de fois, ce qui rend l'exploitation de ces vulnérabilités hautement probable.

L’exploitation de ses vulnérabilités pourrait permettre, à partir du simple visionnage d’une vidéo par un utilisateur, de prendre le contrôle à distance de l’ensemble de son système.

Les deux vulnérabilités ont été corrigées mais il n’a pas été indiqué si celles-ci ont été exploitées.

Détails techniques :

Les deux vulnérabilités permettent chacune d’exécuter arbitrairement du code sur la machine de la victime :

• CVE2019-12874 [CVSSv3 9.8] : Une vulnérabilité présente dans un module VLC permettant de lire des vidéos au format Matroska (un format de conteneur video se terminant par l’extension « .mkv »). Il est possible, à partir d’un fichier spécialement conçu de générer une erreur de double libération de la mémoire (« double free ») lors de la lecture de celui-ci.  La présence d’une telle erreur induit la possibilité pour une personne malveillante d’écrire directement dans la mémoire et ainsi d’exécuter du code arbitrairement. Cela est dû à une mauvaise analyse syntaxique (« parsing ») du fichier lors de sa lecture.
• CVE2019-5439 [CVSSv3 6.5] : Une vulnérabilité de type dépassement du tampon (« buffer overflow ») permet d’écrire à l’extérieur de l’espace alloué au tampon. Dans les preuves de concept actuelles, cela permet à un attaquant de provoquer l’interruption du programme. Cependant, il serait possible à travers cette vulnérabilité d’exécuter arbitrairement du code.