Selon le Microsoft Malware Protection Center, Java est confronté à une " vague sans précédent d'exploits ". Et pour mieux préciser les choses, Microsoft note que depuis le début de l'année, le nombre d'exploits Java a dépassé le nombre total d'exploits liés à Adobe ( documents PDF ). Microsoft souligne parler d'attaques sur du code Java vulnérable et non d'attaques utilisant JavaScript.
Au troisième trimestre, un pic a été atteint avec plus de 6 millions d'attaques contre Java. L'explosion du nombre d'attaques a réellement débuté à partir du milieu du deuxième trimestre, alors que Microsoft n'avait constaté que 500 000 attaques. Le pic du troisième trimestre 2010 est principalement la cause de l'exploitation de trois vulnérabilités à ce jour toutes corrigées et répertoriées dans la base de données CVE ( CVE-2008-5353, CVE-2009-3867, CVE-2010-0094 ).
Plus de 3,5 millions des attaques ont ainsi essayé d'exploiter une faille dans Java Runtime Environment qui a pourtant été comblée en décembre 2008. De même pour plus de 2,6 millions d'attaques à l'encontre de Java et JRE via une faille comblée en décembre 2009.
Ouvrir les yeux ou attaquer Oracle ?
On notera bien qu'il s'agit d'attaques, et cela ne signifie pas pour autant qu'elles ont été couronnées de succès. Le propos de Microsoft semble plus d'éveiller les consciences sur les attaques à l'encontre d'une technologie omniprésente et que les utilisateurs ne pensent peut être pas à mettre à jour :
" Java est une technologie qui s'exécute en tâche de fond pour faire fonctionner des éléments plus visibles. Comment savez-vous si vous avez installé Java ou s'il s'exécute ? […] Maintenant que vos yeux sont ouverts, il est temps pour vous de commencer à réexaminer une technologie omniprésente que les attaquants ont prouvé qu'ils peuvent exploiter. "
La semaine dernière, Oracle a publié plusieurs correctifs afin de combler 85 failles, dont près d'une trentaine pour Java.
Difficile de comprendre pourquoi Microsoft souhaite ainsi nous ouvrir les yeux, à moins de penser qu'il ne s'agisse d'une petite attaque déguisée à l'encontre de son concurrent Oracle, et d'une confrontation entre .Net et Java, en tout cas sous environnement Windows.