Java : alerte pour une faille 0-day sous Windows

Le par  |  3 commentaire(s)
java_logo

Présentée comme facilement exploitable, une vulnérabilité dans l'environnement d'exécution Java, dont la récente mise à jour, menace la sécurité des utilisateurs Windows.

java_logoL'environnement d'exécution Java d'Oracle a récemment connu une mise à jour de sécurité afin de combler 27 vulnérabilités. Pour autant, Java 6 Update 19 ainsi que toutes les versions depuis Java 6 Update 10 sont vulnérables sous Windows. La faute à une faille à exploitation immédiate découverte par le chercheur en sécurité informatique Tavis Ormandy, qui a publié ses trouvailles sous forme d'une preuve de concept.

Le bug est lié au plugin Java Deployment Toolkit que l'on retrouve dans les navigateurs Web du fait de son installation automatique avec JRE ( Java Runtime Environment ). Proposé sous la forme d'un contrôle ActiveX pour Internet Explorer ou d'un plugin NPAPI pour Firefox et autres, Java Deployment Toolkit est considéré comme sûr et fournit aux développeurs une méthode pour distribuer leurs applications aux utilisateurs finaux.

Via ladite vulnérabilité, du code arbitraire peut être exécuté en incitant l'utilisateur à consulter une page Web malveillante. Des arguments arbitraires peuvent être passés à javaw.exe et ainsi d'exécuter un fichier JAR spécialement conçu.

G Data Software a confirmé la vulnérabilité en la qualifiant d'extrêmement critique. Pour l'éditeur de solutions de sécurité :

" Java étant installé sur beaucoup d'ordinateurs, cette faille pourrait rapidement attirer l'attention des cybercriminels. Facilement exploitable dans la plupart des navigateurs Internet, elle n'est pas bloquée par les dispositifs de sécurité de Windows Vista ou Windows 7. "

La désactivation de JavaScript ne permet pas de se protéger contre l'exploitation de la vulnérabilité. Pour Internet Explorer, G Data conseille de placer un bit d'arrêt pour l'ActiveX de classe CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA, et pour Firefox de désactiver Java Deployment Toolkit depuis le gestionnaire des plugins.

Un autre chercheur en sécurité informatique avance par ailleurs que la vulnérabilité est également présente sous Linux et tente de l'exploiter. Oracle estime pour sa part que cette vulnérabilité n'est pas suffisamment critique pour légitimer la publication d'un correctif. Comme la dernière mise à jour de Java est toute fraîche, il faudra donc, a priori, attendre un trimestre supplémentaire pour une correction.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #625581
"Comme la dernière mise à jour de Java est toute fraîche, il faudra donc, a priori, attendre un trimestre supplémentaire pour une correction."
=>Wow, super Oracle, 3 mois de 0-day, et volontaire en plus... On espère qu'ils nous feront pas des blagues similaires avec MySQL...
Le #625691
On se moque pas de Oracle y'a pire : Apple n'a toujours pas repercuté la première vague.
Le #626051
+1 KerTiaM, et c'est vraiment lamentable de leur part. Déjà depuis leur iPhone tout fermé (et pas multitâche en plus) et plus globalement depuis leur passage au x86 ils baissaient dans mon estime, mais là, une faille qui est là depuis presque un an et qui a été corrigée par tous les autres, je crois que c'est le pompon. Faudrait pas qu'ils s'endorment trop sur leurs lauriers, sinon ils risquent de retourner à la situation de 1998…
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]