Oracle n'a manifestement pas fini de manger son pain noir avec Java. Alors que l'éditeur vient de publier une mise à jour Java 7 Update 11 afin de combler une vulnérabilité de sécurité activement exploitée, KrebsOnSecurity a découvert la vente au marché noir d'un exploit pour une faille 0-day.
Il s'agit a priori d'une nouvelle vulnérabilité dans la dernière version de Java 7. Pour 5 000 dollars, le vendeur propose un exploit pour cette vulnérabilité. " Java a failli une fois de plus et permet la compromission des utilisateurs ". Le vendeur aurait trouvé preneur auprès de deux acheteurs.
Le mystère plane sur cette faille qui incite les experts en sécurité à renouveler leur recommandation de n'activer Java pour le navigateur que lorsque cela s'avère absolument nécessaire. D'autant que pour certains d'entre eux, comme Immunity Products, les corrections apportées par Oracle ne sont pas toujours blindées.
Cela chauffe donc pour l'éditeur avec des critiques qui fusent. L'US-CERT maintient sa recommandation de désactiver Java et a mis à jour sa dernière note de vulnérabilité afin de préciser que les implémentations libres de la plateforme Java, OpenJDK 7 et IcedTea 2, sont aussi affectées.
Pour ne rien arranger à l'affaire, Trend Micro a constaté que des cybercriminels opportunistes ont déguisé un malware en soi-disant patch pour Java annoncé comme Java Update 11. Le bon conseil est évidemment de ne télécharger un correctif que depuis le site officiel d'Oracle... même si cela ne protège pas toujours complètement.