Java : nouvel exploit 0-day vendu au marché noir et faux patch

Le par  |  2 commentaire(s)
java-logo

Une autre vulnérabilité 0-day frappe apparemment Java. Un exploit a fait l'objet d'une vente au marché noir pour 5 000 dollars. Trend Micro a par ailleurs détecté un malware qui se déguise en patch pour Java.

Oracle n'a manifestement pas fini de manger son pain noir avec Java. Alors que l'éditeur vient de publier une mise à jour Java 7 Update 11 afin de combler une vulnérabilité de sécurité activement exploitée, KrebsOnSecurity a découvert la vente au marché noir d'un exploit pour une faille 0-day.

Il s'agit a priori d'une nouvelle vulnérabilité dans la dernière version de Java 7. Pour 5 000 dollars, le vendeur propose un exploit pour cette vulnérabilité. " Java a failli une fois de plus et permet la compromission des utilisateurs ". Le vendeur aurait trouvé preneur auprès de deux acheteurs.

Le mystère plane sur cette faille qui incite les experts en sécurité à renouveler leur recommandation de n'activer Java pour le navigateur que lorsque cela s'avère absolument nécessaire. D'autant que pour certains d'entre eux, comme Immunity Products, les corrections apportées par Oracle ne sont pas toujours blindées.

Java-logoCela chauffe donc pour l'éditeur avec des critiques qui fusent. L'US-CERT maintient sa recommandation de désactiver Java et a mis à jour sa dernière note de vulnérabilité afin de préciser que les implémentations libres de la plateforme Java, OpenJDK 7 et IcedTea 2, sont aussi affectées.

Pour ne rien arranger à l'affaire, Trend Micro a constaté que des cybercriminels opportunistes ont déguisé un malware en soi-disant patch pour Java annoncé comme Java Update 11. Le bon conseil est évidemment de ne télécharger un correctif que depuis le site officiel d'Oracle... même si cela ne protège pas toujours complètement.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1156002
" a mis à jour sa dernière note de vulnérabilité afin de préciser que les implémentations libres de la plateforme Java, OpenJDK 7 et IcedTea 2, sont aussi affectées."
=>lol, c'est plutôt une bonne chose ça, ça veut dire que l'émulation est vraiment proche de l'original
Anonyme
Le #1156262
La solution pour Oracle© : le suicide.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]