Java, de nouveau frappé par une faille zero-day
Plusieurs éditeurs d’anti-virus, à l’image de Bitdefender, ont confirmé qu’une importante faille non patchée découverte dans Java était l’objet d’exploits massifs sur Internet.
Plusieurs éditeurs d’anti-virus, à l’image de Bitdefender, ont confirmé qu’une importante faille non patchée découverte dans Java était l’objet d’exploits massifs sur Internet. Cette faille zéro-day toucherait toutes les versions de Java 7 (7.10 et antérieures), pour Windows, Linux et Mac. Elle permettrait ainsi aux attaquants de glisser très discrètement un malware dans les machines des internautes qui visitent des sites compromis. Et le danger serait bien présent car l’exploit du plug-in qui habite les navigateurs Internet aurait également été ajouté aux désormais répandus kit d’attaques (exploit kits) utilisés par les attaquants. De quoi alors susciter l’intérêt du
Cert (Computer Emergency Response Team) américain qui, dans un bulletin, alerte les utilisateurs, les invitant à désactiver le plug-in de leur navigateur. L’organisme américain recommande de migrer vers la version 7.10 de Java afin d’utiliser la fonction qui permet de déconnecter le plug-in du navigateur via le panneau de contrôle. De son côté, Oracle n’a toujours pas réagi. Mais se voit de nouveau confronté à un cas d’urgence. En août dernier, le groupe avait du publié un correctif pour Java hors des cycles traditionnels des mises à jour critiques de sécurité. Le prochain est programmé pour le 15 janvier 2013,