L'environnement d'exécution Java d'Oracle a récemment connu une mise à jour de sécurité afin de combler 27 vulnérabilités. Pour autant, Java 6 Update 19 ainsi que toutes les versions depuis Java 6 Update 10 sont vulnérables sous Windows. La faute à une faille à exploitation immédiate découverte par le chercheur en sécurité informatique Tavis Ormandy, qui a publié ses trouvailles sous forme d'une preuve de concept.

Le bug est lié au plugin Java Deployment Toolkit que l'on retrouve dans les navigateurs Web du fait de son installation automatique avec JRE ( Java Runtime Environment ). Proposé sous la forme d'un contrôle ActiveX pour Internet Explorer ou d'un plugin NPAPI pour Firefox et autres, Java Deployment Toolkit est considéré comme sûr et fournit aux développeurs une méthode pour distribuer leurs applications aux utilisateurs finaux.

Via ladite vulnérabilité, du code arbitraire peut être exécuté en incitant l'utilisateur à consulter une page Web malveillante. Des arguments arbitraires peuvent être passés à javaw.exe et ainsi d'exécuter un fichier JAR spécialement conçu.

G Data Software a confirmé la vulnérabilité en la qualifiant d'extrêmement critique. Pour l'éditeur de solutions de sécurité :

" Java étant installé sur beaucoup d'ordinateurs, cette faille pourrait rapidement attirer l'attention des cybercriminels. Facilement exploitable dans la plupart des navigateurs Internet, elle n'est pas bloquée par les dispositifs de sécurité de Windows Vista ou Windows 7. "

La désactivation de JavaScript ne permet pas de se protéger contre l'exploitation de la vulnérabilité. Pour Internet Explorer, G Data conseille de placer un bit d'arrêt pour l'ActiveX de classe CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA, et pour Firefox de désactiver Java Deployment Toolkit depuis le gestionnaire des plugins.

Un autre chercheur en sécurité informatique avance par ailleurs que la vulnérabilité est également présente sous Linux et tente de l'exploiter. Oracle estime pour sa part que cette vulnérabilité n'est pas suffisamment critique pour légitimer la publication d'un correctif. Comme la dernière mise à jour de Java est toute fraîche, il faudra donc, a priori, attendre un trimestre supplémentaire pour une correction.