La liste des failles 0-day affectant Java est à nouveau réactivée. La société de sécurité polonaise Security Explorations vient d'adresser à Oracle un code preuve de concept pour deux vulnérabilités. Oracle a confirmé la réception du rapport de vulnérabilité et analyse actuellement la situation.

Deux problèmes ont été mise au jour. Associés, ils peuvent être exploités pour prendre complètement à défaut la sécurité sandbox de Java. Le fondateur et PDG de Security Explorations, Adam Gowdiak, a précisé à Softpedia que les vulnérabilités sont spécifiques à Java SE 7.

Il fait mention d'un problème avec l'API Reflection. Relativement puissante, cette API Java permet notamment d'inspecter des classes, interfaces et méthodes lors de l'exécution sans connaître les noms de ces dernières. " Sans entrer dans les détails, tout indique que la balle est dans le camp d'Oracle. Encore. "

Facebook, Apple et Microsoft ont récemment indiqué avoir fait l'objet d'une cyberattaque. Un site fréquenté par des développeurs de logiciels a été infecté par du code malveillant qui a exploité des failles Java lors d'une consultation avec un plugin Java pour navigateur vulnérable.

Firefox-Java-click-to-play Au cours de ce mois de février, Oracle a procédé à une mise à jour en urgence de Java complétée par une autre mise à jour quelques jours plus tard. La prochaine fournée de patchs d'Oracle est programmée pour le 16 avril prochain. Si les dires de Security Explorations sont confirmés et que des exploitations actives sont détectées, nul doute qu'Oracle proposera une mise à jour hors cycle pour Java.

À noter que pour Firefox, Mozilla bloque depuis hier Java Plugin 7 Update 12 à 15 ( la version 15 étant celle la plus à jour ) via son mécanisme de click-to-play ( cliquer pour activer ), ainsi que Java Plugin 6 Update 39 à 41. Cette décision ne fait pas suite au rapport de Security Explorations mais fait référence à l'attaque de Facebook.