VideoLAN propose une nouvelle version de son logiciel multimédia : VLC 2.2.5.1. Avec elle, plusieurs modifications et corrections sont apportées au programme. Par ailleurs, une faille connue de la CIA est comblée.

Vous utilisez VLC pour regarder des vidéos ou écouter de la musique sur votre PC ? Il est alors grand temps de le mettre à jour ! Le célèbre lecteur multimédia vient en effet de recevoir une mise à jour le vendredi 12 mai et le moins que l’on puisse dire c’est qu’elle était très attendue ! En effet, elle corrige une vulnérabilité qui existait dans une version spéciale du logiciel et dont la CIA avait connaissance.

« Cette cinquième version stable de la branche WeatherWax de VLC corrige quelques bugs rapportés sur VLC 2.2.4, notamment les problèmes de rendu vidéo sur les cartes graphiques AMD ainsi que la distorsion audio sur MacOS et Windows 64 bits pour certains fichiers audio », annonce VideoLAN, l’association qui supervise le développement du lecteur multimédia.

Plus particulièrement, une ligne verte en bas des vidéos était susceptible d’apparaître sur les ordinateurs utilisant des pilotes AMD, précise VideoLAN. La version 2.2.5.1 règle aussi des problèmes de sensibilité de défilement sur Sierra, d’enregistrement d’écran du côté de Windows et de taille des captures d’écran. D’autres modifications sont annoncées, que vous pouvez retrouver dans ce patch note.

Mais surtout, VLC 2.2.5.1 met fin à une brèche que la CIA possédait. « La technique utilisée est une modification du manifeste du logiciel dans le but de forcer le chargement d’une fausse bibliothèque de liens dynamiques baptisée psapi.dll, au lieu d’utiliser la version officielle pour Windows. Cette DLL contient le code d’exécution du logiciel malveillant », nous expliquait Jean-Baptiste Kempf, le président de l’association VideoLAN,

Attaque difficile à utiliser

Dans un communiqué, VideoLAN nuançait toutefois la portée de la menace :« les documents qui ont été divulgués ne décrivent pas une vulnérabilité qui est exploitable à distance ni qui figure dans l’installation normale de VLC ». L’association ajoutait que la technique de la CIA, comme bon nombre d’autres outils que l’agence exploite, « nécessite un accès physique à l’ordinateur pris pour cible ».

En outre, dans les documents obtenus lors de la fuite Vault 7, on apprenait aussi que pour la réussite de l’attaque, le PC doit tourner avec Windows XP ou une version plus récente du système d’exploitation de Microsoft. Les autres OS ne sont pas concernés. Par ailleurs, c’est la version portable de VLC — c’est-à-dire qui peut marcher de façon autonome sur un support amovible, comme une clé USB – qui était concernée.

Partager sur les réseaux sociaux