Java 7 : une vulnérabilité dans le patch

Le par  |  8 commentaire(s)
java_logo

Security Explorations affirme avoir découvert une vulnérabilité dans la publication en urgence d'Oracle afin de corriger... des vulnérabilités dans Java 7.

La semaine dernière, Oracle a prodigué en urgence une mise à jour correctrice pour l'environnement Java 7 afin de combler des vulnérabilités 0-day qui ont beaucoup fait parler d'elles.

Remercié par Oracle pour avoir rapporté de telles failles ( portées à la connaissance d'Oracle en avril 2012 ! ), Adam Gowdiak de Security Explorations tire à nouveau la sonnette d'alarme. Tout n'a pas été réglé par le patch.

Le chercheur en sécurité polonais indique qu'une faille dans Java 7 Update 7 peut être exploitée pour contourner la sandbox Java et exécuter du code arbitraire sur le système d'exploitation. Une preuve de concept a été envoyée à Oracle.

java_logoPas question pour autant de rendre la vulnérabilité publique. Les détails pour l'exploitation ne seront pas rendus publics tant qu'Oracle n'aura pas élaboré un correctif en bonne et due forme.

Comme il ne s'agit pour le moment que d'une preuve de concept, la menace n'est pas à son maximum pour les utilisateurs. La réactivité d'Oracle sera néanmoins scrutée de près suite aux récentes critiques à son encontre.

Mettre plus de temps à corriger une faille signalée, c'est aussi donner plus de temps à des individus peu scrupuleux pour la découvrir et l'exploiter.

Le bon conseil pour les utilisateurs est que s'ils n'ont pas besoin de Java ( un composant optionnel ), autant ne pas l'installer ou le supprimer.

Le cas échéant, Security Explorations a constaté que la sandbox de Java 6 semble plus sûre que celle de Java 7.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #1014972
Oracle égal à lui-même, quoi...
Le #1014982
Oracle persiste et signe ...
Le #1015342
la sandbox de Java 6 avait été légué par Sun alors que Java 7 c'est de l'Oracle. Heureusement qu'il existe d'autres versions open source. Comme cette vulnérabilité touche quasi exclusivement des PC Windows, elle va vite être noyée dans la masse. Elle ne devrait pas être autant reprise que celle qui touchait aussi les Macs et dont on a abondamment profité pour nous expliqué que Windows était plus sur (lol).
Le #1015492
Bin il ne reste aux utilisateurs qu'à passer à OpenJDK/JRE
Le #1015752
LIAR a écrit :

Bin il ne reste aux utilisateurs qu'à passer à OpenJDK/JRE


Chuuuuuut, tu vas te faire traiter de troll
patheticcockroach Hors ligne VIP 7663 points
Le #1016082
LIAR a écrit :

Bin il ne reste aux utilisateurs qu'à passer à OpenJDK/JRE


Et surtout à passer à autre chose que cet abominable langage... Pour moi c'est devenu un critère de choix: j'ai dégagé Wuala pour SpiderOak, et plus généralement dès que j'ai besoin d'un logiciel en Java je cherche d'abord une alternative en autre chose. A ce propos, si quelqu'un connait une bonne alternative à Eclipse ça m'intéresse
Le #1167372
Vive adblock
A mort la pub
Le web restera gratuit avec ou sans vous...
Sans vous, il sera un peu moins un "minitel 2.0" pour reprendre le terme de Benjamin Bayard
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]