VLC player, un lecteur très populaire supporté par une vingtaine de plateformes, dont Windows, Linux, Mac OS X, BSD, Solaris et même sur les Pocket PCs, vient d'être jugé vulnérable, selon Secumania.

Ce lecteur, réputé pour son support de plusieurs video codecs et pour sa licence libre, risque de permettre à des tiers mal intentionnés d'exécuter des codes arbitraires lors du chargement du sous-titre de la vidéo jouée. Le chargement de ces fichiers de sous titrage cause en effet un surflux de tampon qui permet cette exploitation par les hackers. Cette faille ne concerne pas que les utilisateurs de Windows. Les utilisateurs de Mac et de Linux sont eux aussi exposés à ce risque, puisque la vulnérabilité s'avère indépendante de la plateforme utilisée.

Le lancement de la version 0.8.6d faisait croire que cette faille avait été neutralisée, ce qui n'était malheureusement pas le cas avec la découverte de possibilités d'exploitation des erreurs sur les fonctions ParseSSA() et ParseVplayer() en chargeant les sous titres, qui peuvent être exploités causant des surflux de tampon. Il s'avère nécessaire de télécharger la version 0.8.6e, tout en évitant tout de même de suivre les sous-titres à risque sur le lecteur VLC.

La dernière version est disponible au téléchargement sur le site vlc-media-player.org