Microsoft : une vague d'exploits Java sans précédent
Selon Microsoft, le nombre d'attaques concernant Java a dépassé celui lié à Adobe Reader.
C'est une information que Microsoft n'avait pas spécialement mise en avant lors de la présentation de son dernier rapport de sécurité, et il est assez surprenant de voir aujourd'hui la firme de Redmond mettre l'accent dessus.
Selon le Microsoft Malware Protection Center, Java est confronté à une " vague sans précédent d'exploits ". Et pour mieux préciser les choses, Microsoft note que depuis le début de l'année, le nombre d'exploits Java a dépassé le nombre total d'exploits liés à Adobe ( documents PDF ). Microsoft souligne parler d'attaques sur du code Java vulnérable et non d'attaques utilisant JavaScript.
Au troisième trimestre, un pic a été atteint avec plus de 6 millions d'attaques contre Java. L'explosion du nombre d'attaques a réellement débuté à partir du milieu du deuxième trimestre, alors que Microsoft n'avait constaté que 500 000 attaques. Le pic du troisième trimestre 2010 est principalement la cause de l'exploitation de trois vulnérabilités à ce jour toutes corrigées et répertoriées dans la base de données CVE ( CVE-2008-5353, CVE-2009-3867, CVE-2010-0094 ).
Plus de 3,5 millions des attaques ont ainsi essayé d'exploiter une faille dans Java Runtime Environment qui a pourtant été comblée en décembre 2008. De même pour plus de 2,6 millions d'attaques à l'encontre de Java et JRE via une faille comblée en décembre 2009.
Ouvrir les yeux ou attaquer Oracle ?
On notera bien qu'il s'agit d'attaques, et cela ne signifie pas pour autant qu'elles ont été couronnées de succès. Le propos de Microsoft semble plus d'éveiller les consciences sur les attaques à l'encontre d'une technologie omniprésente et que les utilisateurs ne pensent peut être pas à mettre à jour :
" Java est une technologie qui s'exécute en tâche de fond pour faire fonctionner des éléments plus visibles. Comment savez-vous si vous avez installé Java ou s'il s'exécute ? […] Maintenant que vos yeux sont ouverts, il est temps pour vous de commencer à réexaminer une technologie omniprésente que les attaquants ont prouvé qu'ils peuvent exploiter. "
La semaine dernière, Oracle a publié plusieurs correctifs afin de combler 85 failles, dont près d'une trentaine pour Java.
Difficile de comprendre pourquoi Microsoft souhaite ainsi nous ouvrir les yeux, à moins de penser qu'il ne s'agisse d'une petite attaque déguisée à l'encontre de son concurrent Oracle, et d'une confrontation entre .Net et Java, en tout cas sous environnement Windows.
-
Une vulnérabilité a été signalée dans Oracle Java 7 ( ou 1.7 ) et commence déjà à être exploitée. Faute de correctif, la seule recommandation reste la désactivation de Java dans les navigateurs Web. -
Attention, une faille de sécurité jugée critique vient d'être découverte au sein de la Machine Virtuelle Java de Sun.
Vos commentaires
Comme ça ça fera de la place à Windows Phone 7.
Mouarf !
db
Ils tombent de plus en plus bas chez Microsoft.
Pour un Web libre, merci à tous ces grands acteurs de penser à nous
<img src="/img/emo/cool.gif" alt="8:" />
M$ ferai mieux de balayer devant sa porte avant de s'aventurer sur ce terrain glissant.
Non parce-que bon, en aucun cas, MS critique le travail d'Oracle...
Il ne fait que relever le fait qu'une techno omniprésente et pas mise à jour est dangereuse... C'est ni nouveau, ni agressif, c'est juste une réalité qu'il est bon de rappeler à certains.
Microsoft ne fait que remonter un fait inquietant, Java est de plus en plus la cible d'attaque.
La raison est simple à mon avis, trop de code sur des appli entreprise sont enlisé dans des anciennes version de JAVA.