Publié par : Papy40 | 08/10/2012

Java : encore une nouvelle faille de sécurité

 

Source : ZDNet

Java : encore une nouvelle faille de sécuritéSécuritéMalgré le récent correctif diffusé par Oracle, une vulnérabilité majeure persiste dans les différentes versions de Java. Si celle-ci ne fait pas encore l’objet d’attaques, ce sont néanmoins potentiellement un milliard de postes qui sont concernés selon Security Explorations.

Java, l’équivalent de Flash en termes de sécurité ? C’est ironique, mais le logiciel d’Oracle s’affiche de plus en plus, et pas en bien, dans des articles consacrés à la sécurité, comme c’est aussi régulièrement le cas pour Flash.

Selon la société Security Explorations, qui a détecté cette nouvelle vulnérabilité de Java, celle-ci affecte les différentes versions de l’application (Java SE 5, 6 et 7). La faille se situe au niveau de la JVM et son exploitation permet de contourner totalement la sandbox de Java.

Correctif au plus tard le 16 octobre ?

Lors de tests sur un poste sous Windows 7 à jour, Security Explorations est parvenu à exploiter la vulnérabilité du plugin Java sur l’ensemble des dernières versions des navigateurs Internet.

Toutefois selon les experts en sécurité, la faille n’est pas circonscrite aux seuls environnements Windows et affecte donc également les utilisateurs de Linux et Mac où Java est installé.

De manière concrète, la faille permet à un attaquant grâce à un appel Java malveillant d’installer un programme sur un poste vulnérable, mais aussi de lire ou modifier des données en utilisant pour cela les droits de l’utilisateur sur le système.

Si Security Explorations qualifie la faille de faille Zero-Day affectant potentiellement un milliard d’utilisateurs, celle-ci ne fait cependant pas encore l’objet d’exploitation. Dans l’attente d’un correctif d’Oracle, qui devrait être disponible au plus tard le 16 octobre, il est recommandé de désactiver, voire désinstaller, le plugin Java.

Publicités

Catégories