Le format audio FLAC pointé du doigt : 14 vulnérabilités découvertes

Très apprécié des audiophiles, le format FLAC (Free Lossless Audio Codec) est aujourd'hui le format sans perte le plus répandu sur les réseaux P2P, les newsgroups et autres sources d'approvisionnement et d'échange des amateurs de musique. Contrairement au MP3, le FLAC n'élimine aucune information sonore lors de la compression d'un CD en fichier numérique, ce qui lui assure une fidélité parfaite. Avec la taille actuelle des disques durs et la taille des bandes passantes chez les abonnés, le poids des fichiers n'est plus tellement un obstacle à sa démocratisation.

Mais le spécialiste en sécurité eEye Digital Secure révèle qu'il a découvert 14 vulnérabilités dans le traitement des fichiers FLAC - en réalité dans la librairie LibFLAC inférieure à la version 1.2.1, qui pourraient permettre l'exécution de bouts de codes à l'insu de l'utilisateur. 12 des 14 vulnérabilités touchent la lecture des métadonnées du fichier FLAC, qui sous certaines conditions peuvent déclencher un traditionnel overflow. Pour se protéger des failles, il faudra bien sûr attendre les mises à jour des logiciels et plug-in de lecture, s'ils ne sont pas déjà à jour de leur librairie LibFLAC.

Etant donné que le FLAC utilise le même shéma de métadonnées que le format Ogg Vorbis, ce dernier est probablement également concerné par le problème.