Les utilisateurs de VLC jusqu’à la version 1.1.6 doivent être particulièrement vigilants lorsqu’ils exécutent des fichiers vidéo téléchargés depuis des endroits peu fiables. Une vulnérabilité découverte récemment dans le plugin responsable de la lecture de fichiers au format matroska et présente dans toutes les versions disponibles de VLC peut être utilisée pour exécuter un code malveillant sur l’ordinateur de l’utilisateur.
L’échec est dû à un problème de validation dans le plugin pour les fichiers MKV (libmkv_plugin). En principe, il est possible de créer des fichiers MKV qui contiennent du code malveillant qui, lorsqu’il est exécuté dans le VLC, provoque également l’exécution du code sur la machine locale, avec les privilèges de l’utilisateur (quel que soit le système d’exploitation qu’il utilise). Une nouvelle version du programme, 1.1.7, a déjà été téléchargée dans le dépôt Git du projet, mais une mise à jour officielle qui résout ce bogue ne devrait être publiée que dans les prochains jours.
En attendant, les développeurs demandent aux utilisateurs soit de supprimer manuellement le plugin mentionné (et donc de ne plus pouvoir regarder les vidéos au format .mkv), soit d’arrêter de télécharger des fichiers dans ce format. Personnellement, j’espère que cette mise à jour sera disponible bientôt.