La liste des failles 0-day affectant Java est à nouveau réactivée. La société de sécurité polonaise Security Explorations vient d'adresser à Oracle un code preuve de concept pour deux vulnérabilités. Oracle a confirmé la réception du rapport de vulnérabilité et analyse actuellement la situation.
Deux problèmes ont été mise au jour. Associés, ils peuvent être exploités pour prendre complètement à défaut la sécurité sandbox de Java. Le fondateur et PDG de Security Explorations, Adam Gowdiak, a précisé à Softpedia que les vulnérabilités sont spécifiques à Java SE 7.
Il fait mention d'un problème avec l'API Reflection. Relativement puissante, cette API Java permet notamment d'inspecter des classes, interfaces et méthodes lors de l'exécution sans connaître les noms de ces dernières. " Sans entrer dans les détails, tout indique que la balle est dans le camp d'Oracle. Encore. "
Facebook, Apple et Microsoft ont récemment indiqué avoir fait l'objet d'une cyberattaque. Un site fréquenté par des développeurs de logiciels a été infecté par du code malveillant qui a exploité des failles Java lors d'une consultation avec un plugin Java pour navigateur vulnérable.
À noter que pour Firefox, Mozilla bloque depuis hier Java Plugin 7 Update 12 à 15 ( la version 15 étant celle la plus à jour ) via son mécanisme de click-to-play ( cliquer pour activer ), ainsi que Java Plugin 6 Update 39 à 41. Cette décision ne fait pas suite au rapport de Security Explorations mais fait référence à l'attaque de Facebook.