Il y a manifestement eu un emballement médiatique et d'une frange de la communauté de la sécurité informatique autour de la soi-disant vulnérabilité de sécurité critique affectant le célèbre et populaire lecteur multimédia libre VLC.

Légitimement en colère, VideoLAN - l'association qui développe et distribue VLC - dégonfle cette affaire.

Le problème de sécurité était en rapport avec une bibliothèque logicielle tierce libebml pour laquelle la vulnérabilité en question a été corrigée il y a plus de seize mois. Depuis sa version 3.0.3 sortie il y a maintenant plus d'un an, VLC n'est pas vulnérable.

VideoLAN pointe du doigt l'organisme américain MITRE qui a attribué un numéro CVE sans retour des mainteneurs du projet et le CERT-Bund allemand qui a repris l'alerte (révisée depuis) sans vérifier la vulnérabilité. Sans compter le NIST (qui a publié une note avec en cause un module pour MKV), des titres d'articles alarmistes en prennent aussi pour leur grade.

À l'origine de tout ce tumulte, il y a un rapport dans le bug tracker de VideoLAN d'un utilisateur qui avait recours à une ancienne version d'Ubuntu et avec des bibliothèques logicielles qui n'étaient pas à jour. Il n'a pas été possible de reproduire le bug et sans plantage d'aucune sorte de VLC.

" Si vous signalez un problème de sécurité, mettez au moins à jour votre distribution Linux ", écrit Jean-Baptiste Kempf, le président de VideoLAN. Quant au score de 60 % pour l'état d'avancement de la résolution de la vulnérabilité, c'était une information fantasque du rapporteur du bug.

VideoLAN regrette par ailleurs le fait qu'avec des dépassements de mémoire tampon non exploitables à distance, le score CVSS de criticité attribué à VLC (qui est aussi un serveur) est systématiquement de 9,8.