Sécurité

Un sous-titre suffit pour que quelqu’un prenne le contrôle de votre PC avec VLC, Kodi ou Popcorn Time

Les sous-titres de films et de séries sont généralement considérés comme des fichiers texte inoffensifs, mais peuvent cacher des codes malveillants. Les lecteurs vidéo connus tels que VLC, Kodi et Popcorn Time sont soumis à une faille de sécurité qui permet à une personne malveillante de prendre le contrôle total de son ordinateur.

La vulnérabilité a été découverte par l’entreprise de sécurité CheckPoint, qui estime qu’environ 200 millions d’utilisateurs sont concernés ? la version 2.2.4 du VLC pour Windows, par exemple, compte 171 millions de téléchargements. En exécutant un sous-titre malveillant, le lecteur vidéo permet le contrôle à distance du PC, ce qui peut entraîner le vol d’informations, l’installation de rançons et des attaques par déni de service.

Vous ne devriez pas avoir de problème si vous utilisez les lecteurs uniquement pour regarder des films sur des supports physiques, qui ont déjà des sous-titres intégrés, mais peuvent être affectés si vous téléchargez des sous-titres de sites web tiers. De plus, certains logiciels se téléchargent automatiquement dans des dépôts comme OpenSubtitles.org. En manipulant le classement de ces sites, il est possible de faire en sorte qu’une légion d’utilisateurs téléchargent des codes malveillants sans le savoir.

  Comment mettre une vidéo en privé sur TikTok ou sur un compte

Cette vidéo montre une preuve de concept de l’attaque :

Le problème est causé, selon CheckPoint, par le faible niveau de sécurité des différents lecteurs de médias et le nombre élevé de formats de sous-titres sur le marché : plus de 25 types sont utilisés. En l’absence de norme établie, le logiciel doit interpréter tous les formats, chacun avec une méthode différente, ce qui finit par faire place à des vulnérabilités comme celle-ci.

Pour être sûr, mettez à jour votre lecteur vidéo dès que possible. VLC a déjà publié la version 2.2.5.1, qui corrige l’échec, ainsi que Popcorn Time. Kodi, anciennement XBMC, n’a pas encore été mis à jour.

A propos de l'auteur

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire