Java : nouvelles failles 0-day découvertes

Le par  |  11 commentaire(s)
java-logo

Security Explorations indique avoir mis au jour deux vulnérabilités 0-day dans Java. Un code preuve de concept a été envoyé à Oracle. Dans le même temps, Firefox passe le plugin Java en mode click-to-play.

La liste des failles 0-day affectant Java est à nouveau réactivée. La société de sécurité polonaise Security Explorations vient d'adresser à Oracle un code preuve de concept pour deux vulnérabilités. Oracle a confirmé la réception du rapport de vulnérabilité et analyse actuellement la situation.

Deux problèmes ont été mise au jour. Associés, ils peuvent être exploités pour prendre complètement à défaut la sécurité sandbox de Java. Le fondateur et PDG de Security Explorations, Adam Gowdiak, a précisé à Softpedia que les vulnérabilités sont spécifiques à Java SE 7.

Il fait mention d'un problème avec l'API Reflection. Relativement puissante, cette API Java permet notamment d'inspecter des classes, interfaces et méthodes lors de l'exécution sans connaître les noms de ces dernières. " Sans entrer dans les détails, tout indique que la balle est dans le camp d'Oracle. Encore. "

Facebook, Apple et Microsoft ont récemment indiqué avoir fait l'objet d'une cyberattaque. Un site fréquenté par des développeurs de logiciels a été infecté par du code malveillant qui a exploité des failles Java lors d'une consultation avec un plugin Java pour navigateur vulnérable.

Firefox-Java-click-to-playAu cours de ce mois de février, Oracle a procédé à une mise à jour en urgence de Java complétée par une autre mise à jour quelques jours plus tard. La prochaine fournée de patchs d'Oracle est programmée pour le 16 avril prochain. Si les dires de Security Explorations sont confirmés et que des exploitations actives sont détectées, nul doute qu'Oracle proposera une mise à jour hors cycle pour Java.

À noter que pour Firefox, Mozilla bloque depuis hier Java Plugin 7 Update 12 à 15 ( la version 15 étant celle la plus à jour ) via son mécanisme de click-to-play ( cliquer pour activer ), ainsi que Java Plugin 6 Update 39 à 41. Cette décision ne fait pas suite au rapport de Security Explorations mais fait référence à l'attaque de Facebook.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #1203902
Faille 0-day dans Java…
La routine en somme.
Anonyme
Le #1203922
ignace72 a écrit :

Faille 0-day dans Java…
La routine en somme.


C'est tellement régulier qu'il n'y a même plus lieu de s'affoler...
Le #1203952
un coup java , un coup java pas
Anonyme
Le #1203982
Java le dire à tout le monde
Le #1203992
Pourquoi ne pas automatiser cette news à chaque maj de JAVA ?
Je pense pouvoir prédire l'avenir : le correctif apporté à JAVA dispose d'une faille 0-day, il est conseiller de désactiver JAVA
Anonyme
Le #1204012
Je vais le désinstaller et pis tant pis ! Java plus du tout
Le #1204262
warsoft a écrit :

Pourquoi ne pas automatiser cette news à chaque maj de JAVA ?
Je pense pouvoir prédire l'avenir : le correctif apporté à JAVA dispose d'une faille 0-day, il est conseiller de désactiver JAVA


Java pas pensé à ça
patheticcockroach Hors ligne VIP 7663 points
Le #1204502
Battlefield4 a écrit :

Je vais le désinstaller et pis tant pis ! Java plus du tout


Je ne voue pas non plus un amour fou à Java, mais quand même faudrait lui lâcher un peu du lest:
1) c'est le plugin navigateur qui pose problème, pas Java en stand-alone
2) je pense que ses failles à répétitions sont tout simplement une conséquence directe de tout ce qu'il permet de faire. Vous en connaissez beaucoup des plugins qui permettent de faire tourner un véritable programme à l'intérieur du navigateur ? Pas juste un minijeu Flash, un vrai programme genre un scanner antivirus, un logiciel de backup, etc. Pas étonnant que ce soit infernal à sécuriser...
Le #1204512
On fait valser notre sécurité avec cette java
Le #1204572
Quand le 0-days est
Quand le 0-days est là
Le java s'en
Le java s'en va
Il y a de l'orage dans l'air
Il y a de l'eau dans le gaz
Entre le 0-days et le java

Chaque jour un peu plus
Y a le0-days qui s'installe
Alors la rage au coeur
Le java fait la malle
Ses p'tit's fesses en bataille
Sous sa jupe fendue
Elle écrase sa Gauloise
Et s'en va dans la rue

ect etc....

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]