Deux nouvelles failles zero-day dans Java
Security Explorations, spécialiste de la recherche en sécurité en Pologne, a mis le doigt sur deux nouvelles failles Java zero-day.
Security Explorations, spécialiste de la recherche en sécurité en Pologne, a mis le doigt sur deux nouvelles failles Java zero-day. Venant ainsi alourdir le bilan sécurité de Java, qui avait déjà été pris pour cible en janvier, poussant Oracle à sortir un correctif dans l’urgence, hors de ces traditionnels cycles de mises à jour. Cette fois-ci, les deux failles concernent la version SE 7 (Standard Edition 7) de Java et permettrait de contourner le "bac à sable" afin d’injecter du code malicieux. L’alerte a été donné par Adam Gowdiak, le CEO et fondateur de Security Explorations
sur la liste du Bugtrack. « Nous avons découvert deux nouvelles failles de sécurité (référencées 54 et 55), qui, une fois combinées, peuvent être utilisées pour bypasser complètement le sandbox de sécurité de Java dans un environnement Java SE 7 update 15 (1.7.0_15-b03) », assure-t-il. Ajoutant avoir prévenu Oracle de la découverte de ces vulnérabilités et avoir fourni un PoC illustrant ses propos. « Sans aller plus dans les détails, tout indique que la balle est dans le camp d’Oracle. Encore une fois », ajoute-t-il. Du côté de la firme de Larry Ellison, on tarde encore à confirmer ces deux failles encore béantes.