Le format FLAC est connu et est utilisé par les mélomanes qui souhaitent n’avoir aucune détérioration de la qualité sonore par rapport à la source. Le Free Lossless Audio Codec, contrairement au MP3 par exemple, ne détruit pas les données. En retour par contre, il ne compresse évidemment pas aussi bien.

La société eEye Digital Security a découvert et réuni pas moins de 14 failles de sécurité qui touchent le format. L’une dans l’autre, ces failles présentent un risque critique et pourraient permettre, si elles sont exploitées, une exécution arbitraire de code à distance. Un problème sérieux qui dépend donc du format et pas de l’application qui lit le fichier.

De fait, toutes les applications capables de lire le format FLAC sont a priori potentiellement vectrices d’une attaque. Toutes les failles sont liées à une mauvaise gestion des métadonnées et donnent presque toutes lieux à des dépassements de pile ou de mémoire tampon.

Le plus gros problème selon eEye est que les différents acteurs du milieu n’ont pas été avertis des problèmes. En fait, la version 1.2.1, qui corrige ces vulnérabilités, est disponible depuis septembre. Mais les applications qui compressent ou même lisent le format n’ont pas toutes été mises à jour. Il vaut mieux donc contrôler que son lecteur favori possède bien la dernière version du codec.