2012 n’était pas une bonne année pour Oracle. Après avoir perdu un important procès contre Google, l’entreprise a dû faire face à un dangereux exploit zero-day qui a été trouvé au sein de Java, et considéré comme “extrêmement critique” par les experts en sécurité. En effet, ce dernier pouvait être exploité pour infecter des ordinateurs avec des logiciels malveillants. Si le problème a été réglé (partiellement ?), un nouvel exploit est toujours dans le coin pour 2013…
Initialement repéré par @Kafeine, d’autres équipes de recherche en sécurité, y compris Labs AlienVault, ont confirmé qu’un exploit nouveau zero-day a été trouvé en Java. Cet exploit particulier permettrait de prendre le contrôle de votre PC en exécutant un code malveillant. Il semble même qu’un groupe de hackers utilise ce dernier pour installer un logiciel sur les ordinateurs affectés.
Pour votre information, sachez qu’un exploit 0 day, ou encore zero-day est selon Wikipédia, un exploit qui utilise une faille jusqu’ici méconnue du public, qui est susceptible d’engendrer la création d’un ver car, par définition, la grande majorité des utilisateurs ne sera pas protégée contre cette faille jusqu’à ce qu’elle soit découverte et corrigée.
Un exploit zero-day Java pour tout le monde …
Alors, que pouvez-vous faire pour vous protéger contre cet exploit particulier ? Tout d’abord, cesser d’utiliser votre ordinateur ! Si cette solution peut être radicale, je vous propose plutôt de désactiver Java sur votre machine. Comme il semble affecter tous les navigateurs et tous les systèmes d’exploitation, il n’y a vraiment pas grand-chose que vous pouvez faire.
Note : Pour ce faire, n’hésitez pas à lire l’article de Frédéric qui explique comme réaliser cette opération sur les différents navigateurs du marché
Les bonnes nouvelles sont qu’Oracle travaille déjà sur un correctif. Selon @Kafeine, Oracle a déjà assigné un ticket pour pallier à cet exploit. Alors que c’est beau et tout, il n’y a toujours aucun mot sur combien de temps ça va prendre pour devoir créer un patch. Oracle pourrait même attendre jusqu’à demain pour délivrer le correctif laissant des millions de PC dans les limbes jusque-là…
Malgré la gravité de l’exploit, ce n’est pas si surprenant. Dans un rapport d’AVG au début du mois, la compagnie de sécurité a déclaré que Java resterait le logiciel le plus exploité sur PC.
Il est regrettable que le rapport qui a dévoilé des conclusions précises si tôt cette année n’est pas été “exploité”, mais peut-être que cela va pousser Oracle à garder une longueur d’avance sur les pirates qui recherchent ces exploits…
Espérons que 2013 soit meilleure pour Oracle, même si là c’est mal parti…
