close
ActualitésWeb

Une nouvelle faille a été découverte dans Java SE 5, 6 et 7

C’est un mois difficile pour Java d’Oracle ! Tout d’abord, fin août le plugin Java a été jugé vulnérable à une attaque zero-day et considérée comme “extrêmement critique” par les experts en sécurité, pouvant être exploitée pour infecter des ordinateurs avec des logiciels malveillants. Cette vulnérabilité aurait même été utilisée pour installer à distance le cheval de Troie “Poison Ivy”, qui a été utilisé dans le passé dans de nombreuses campagnes de cyber-espionnage.
Heureusement, Oracle n’avait pas attendu son correctif d’octobre pour résoudre le problème, et avait publié un correctif quelques jours plus tard.

Une nouvelle faille Java a été découverte

Seulement ce n’était pas la fin de celui-ci. Une entreprise de sécurité a annoncé le lendemain que le patch avait entraîné une autre vulnérabilité dans le logiciel Java. Pendant ce temps, des bruits sont arrivés mentionnant le fait qu’Oracle connaissait ces failles mais que la firme n’avait rien fait pour les corriger jusqu’à ce qu’il en soit forcé.

Aujourd’hui, comme le rapporte ComputerWorld une société de sécurité, Security Explorations, a de nouveau interpellé Oracle pour un exploit dans Java. Ce dernier affecte toutes les dernières versions de Java SE, y compris Java SE 5, 6 et 7.
Le PDG de la société, Adam Gowdiak, a déclaré que leurs tests ont réussi à contourner la sécurité de la sandbox Java autrement dit à la zone souvent utilisée pour exécuter du code non testé ou de provenance douteuse, et ainsi exécuter du code sur le système sous-jacent. Les tests ont utilisé une version entièrement mise à jour de Windows 7 32-bit et des navigateurs modernes. Ainsi, toute personne qui utilise Firefox, Chrome, Internet Explorer, Opera ou Safari est vulnérable…

Gowdiak a déclaré dans un courriel que la société a notifié Oracle de l’exploit. Le souci se présente sous la forme d’une nouvelle vulnérabilité qui a été récemment découverte. Gowdiak précise que les hackers pourraient combiner la nouvelle faille avec d’autres non corrigées dans le but de “parvenir à complètement se passer de la sandbox JVM”.

Il a également indiqué dans un entretien à ComputerWorld qu’heureusement à ce jour il n’existe pas encore de preuves d’attaques qui utilisent l’exploit nouvellement révélé. Pour l’instant, n’ayez crainte si vous avez la dernière version de Java d’installée.

Si tout se passe comme prévu, ils n’auront pas accès à toutes ces failles jusqu’à ce qu’elles soient corrigées par Oracle ! À moins qu’un petit malin aille plus vite et sème la zizanie sur la toile…

Ça me semble du déjà vu non ?

Tags : failleHacksjavaOracleSecurity ExplorationsZero Day
Yohann Poiron

The author Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.