Il y a manifestement eu un emballement médiatique et d'une frange de la communauté de la sécurité informatique autour de la soi-disant vulnérabilité de sécurité critique affectant le célèbre et populaire lecteur multimédia libre VLC.
Légitimement en colère, VideoLAN - l'association qui développe et distribue VLC - dégonfle cette affaire.
Le problème de sécurité était en rapport avec une bibliothèque logicielle tierce libebml pour laquelle la vulnérabilité en question a été corrigée il y a plus de seize mois. Depuis sa version 3.0.3 sortie il y a maintenant plus d'un an, VLC n'est pas vulnérable.
About the "security issue" on #VLC : VLC is not vulnerable.
— VideoLAN (@videolan) 24 juillet 2019
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
VideoLAN pointe du doigt l'organisme américain MITRE qui a attribué un numéro CVE sans retour des mainteneurs du projet et le CERT-Bund allemand qui a repris l'alerte (révisée depuis) sans vérifier la vulnérabilité. Sans compter le NIST (qui a publié une note avec en cause un module pour MKV), des titres d'articles alarmistes en prennent aussi pour leur grade.
and then, of course, @Gizmodo decided to play the clickbaiting of "Uninstall VLC now, or you are all going to die". Of course, @Gizmodo did not contact at all to check their info.
— VideoLAN (@videolan) 24 juillet 2019
And then, we got hundreds of article about VLC insecurity.
À l'origine de tout ce tumulte, il y a un rapport dans le bug tracker de VideoLAN d'un utilisateur qui avait recours à une ancienne version d'Ubuntu et avec des bibliothèques logicielles qui n'étaient pas à jour. Il n'a pas été possible de reproduire le bug et sans plantage d'aucune sorte de VLC.
" Si vous signalez un problème de sécurité, mettez au moins à jour votre distribution Linux ", écrit Jean-Baptiste Kempf, le président de VideoLAN. Quant au score de 60 % pour l'état d'avancement de la résolution de la vulnérabilité, c'était une information fantasque du rapporteur du bug.
@BFMTV joined of course, with the ridiculous "60%" of the fix is done, which is what the reporter added in the public bugtracker...
— VideoLAN (@videolan) 24 juillet 2019
VideoLAN regrette par ailleurs le fait qu'avec des dépassements de mémoire tampon non exploitables à distance, le score CVSS de criticité attribué à VLC (qui est aussi un serveur) est systématiquement de 9,8.