Une faille dans Java SE expose plus d’un milliard d’utilisateurs
Quelques semaines après la découverte d’une faille Java zero-day qui a poussé Oracle à publier une rustine dans l’urgence, une équipe de chercheurs met le doigt sur une énième vulnérabilité, cette fois-ci dans Java SE, exposant plus de 1 milliard d’utilisateurs dans le monde. La réaction d’Oracle, a quelques jours d’OpenWorld et de JavaOne, se fait attendre.
Des chercheurs ont découvert une faille critique dans Java SE qui pourrait permettre à un attaquant de contourner une clé de sécurité, exposant selon eux plus de 1 milliard d’utilisateurs Java à des risques potentiels. La vulnérabilité, percée à jour par la société de conseil en sécurité Security Exploitations, a été dévoilée au grand jour mardi dernier sur la mailing-list Full Disclosure de
Seclists.org. Elle concerne les versions 5, 6 et 7 de Java SE. Adam Gowdiak, fondateur et CEO de Security Exploitations, a affirmé que son équipe a pu exploité cette faille pour bypasser les mesures de sécurité du sandbox (bac à sable) de Java, un espace mémoire utilisé par la machine virtuelle Java (JVM) pour isoler du code douteux. Ainsi, un attaquant pourrait utiliser cette faille pour injecter du code malicieux et obtenir le contrôle partiel (a minima) d’un système cible. Chez nos confrères de Computerworld, Gowdiak donne quelques détails. Selon lui, Security Exploitations a testé la faille sur un système Windows 7 32-bits, mis à jour, avec les navigateurs Firefox, Google Chrome, Internet Explorer, Opera et Safari. Pratiquement tous les points d’accès reposant sur Windows, Linux, Solaris ou MacOS où les versions 5,6 et 7 sont installées sont vulnérables, soutient-il. Dans son post sur Seclists, Gowdiak a confirmé avoir transmis les spécifications de sa trouvaille à Oracle. Mercredi, l’éditeur de Java n’avait toujours pas réagi. En attendant que la firme Ellison ne publie la précieuse rustine, hors ou inclus dans le cycle de publication de ses mises à jour, il est conseillé de purement désactiver Java dans les navigateurs. Evidemment, à quelques encablures de la conférence OpenWorld d’Oracle, qui héberge également JavaOne, cette faille fait tâche d’huile. D’autant que la plate-forme qui motorise encore nombre d’applications dans le monde, est l’objet de publication de vulnérabilités à répétition. Cette faille suit la découverte d’une précédente,
de type Zero-day il y a quelques semaines, qui avait conduit Oracle à publier sans attendre, dans l’urgence, et hors de son cycle habituel de mises à jour, une rustine pour combler ce trou critique. Cette faille, si exploitée, permettait d’installer un dropper sur des systèmes infectés, programmés pour télécharger d’autres malwares, depuis un serveur distant. Très vite, la rustine publiée par Oracle avait, elle-aussi, été analysée, pour qu'y soit trouvé, ironiquement...une faille. Cette nouvelle vulnérabilité devrait ainsi alimenter les débats à JavaOne et relancer le dossier sur la sécurité de la plate-forme Java. Une question au coeur des préoccupations des entreprises depuis des années, celles-ci s’inquiétant notamment de l’attitude d’Oracle, très critiquée, sur ce terrain. «Nous espérons que le fait que plus d’un milliard d’utilisateurs de Java soient concernés par une faille de Java SE ne gâche pas trop le goût du café [Java, NDLR] de Larry Ellison», ironise Gowdiak.