La semaine dernière, le chercheur en sécurité informatique Tavis Ormandy rapportait l'existence d'une vulnérabilité dans l'environnement d'exécution Java d'Oracle, avec toutes les versions allant de Java Update 10 à Java Update 19 touchées ( voir notre actualité pour plus de détails ). Via la présence du plugin Java Deployment Toolkit, ce problème concerne les navigateurs Web sous Windows ( voire sous Linux ).

G Data Software a confirmé cette vulnérabilité qualifiée d'extrêmement critique, et a fait part de son inquiétude au sujet d'une exploitation rapide par des cybercriminels, tant cette exploitation est aisée. Un autre éditeur de solutions de sécurité a donné raison à G Data, puisque AVG a indiqué hier avoir détecté un code d'attaque provenant d'un serveur situé en Russie. Un site de paroles de chansons en a fait les frais. Pour certains contenus, ce site a été détourné afin de rediriger les utilisateurs vers le serveur russe.

Mais alors que l'on s'acheminait vers une mise à jour d'ici trois mois comme Oracle en a l'habitude afin que ce problème soit corrigé, petite surprise avec la publication de Java Update 20. Les notes de version manquent néanmoins de précision et l'on ne sait pas avec certitude si la fameuse faille a été comblée.

Selon The H Security, il semble que les composants vulnérables ne sont plus chargés dans le navigateur, et la vulnérabilité aurait donc été corrigée. Petit bémol toutefois puisque la mise à jour de Java ne permet apparemment pas de contrecarrer l'exploit dans tous les cas.