Java 7 : une vulnérabilité dans le patch

Le par Jérôme G.  |  8 commentaire(s)
java_logo

Security Explorations affirme avoir découvert une vulnérabilité dans la publication en urgence d'Oracle afin de corriger... des vulnérabilités dans Java 7.

La semaine dernière, Oracle a prodigué en urgence une mise à jour correctrice pour l'environnement Java 7 afin de combler des vulnérabilités 0-day qui ont beaucoup fait parler d'elles.

Remercié par Oracle pour avoir rapporté de telles failles ( portées à la connaissance d'Oracle en avril 2012 ! ), Adam Gowdiak de Security Explorations tire à nouveau la sonnette d'alarme. Tout n'a pas été réglé par le patch.

Le chercheur en sécurité polonais indique qu'une faille dans Java 7 Update 7 peut être exploitée pour contourner la sandbox Java et exécuter du code arbitraire sur le système d'exploitation. Une preuve de concept a été envoyée à Oracle.

java_logoPas question pour autant de rendre la vulnérabilité publique. Les détails pour l'exploitation ne seront pas rendus publics tant qu'Oracle n'aura pas élaboré un correctif en bonne et due forme.

Comme il ne s'agit pour le moment que d'une preuve de concept, la menace n'est pas à son maximum pour les utilisateurs. La réactivité d'Oracle sera néanmoins scrutée de près suite aux récentes critiques à son encontre.

Mettre plus de temps à corriger une faille signalée, c'est aussi donner plus de temps à des individus peu scrupuleux pour la découvrir et l'exploiter.

Le bon conseil pour les utilisateurs est que s'ils n'ont pas besoin de Java ( un composant optionnel ), autant ne pas l'installer ou le supprimer.

Le cas échéant, Security Explorations a constaté que la sandbox de Java 6 semble plus sûre que celle de Java 7.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
:D offline Hors ligne VIP avatar 13120 points
Le #1014922
c'est du joli
patheticcockroach offline Hors ligne VIP avatar 7868 points
Le #1014972
Oracle égal à lui-même, quoi...
Ulysse2K online Connecté VIP icone 50138 points
Le #1014982
Oracle persiste et signe ...
penseurodin offline Hors ligne VIP avatar 11090 points
Le #1015342
la sandbox de Java 6 avait été légué par Sun alors que Java 7 c'est de l'Oracle. Heureusement qu'il existe d'autres versions open source. Comme cette vulnérabilité touche quasi exclusivement des PC Windows, elle va vite être noyée dans la masse. Elle ne devrait pas être autant reprise que celle qui touchait aussi les Macs et dont on a abondamment profité pour nous expliqué que Windows était plus sur (lol).
LIAR offline Hors ligne VIP avatar 5714 points
Le #1015492
Bin il ne reste aux utilisateurs qu'à passer à OpenJDK/JRE
Ulysse2K online Connecté VIP icone 50138 points
Le #1015752
LIAR a écrit :

Bin il ne reste aux utilisateurs qu'à passer à OpenJDK/JRE


Chuuuuuut, tu vas te faire traiter de troll
patheticcockroach offline Hors ligne VIP avatar 7868 points
Le #1016082
LIAR a écrit :

Bin il ne reste aux utilisateurs qu'à passer à OpenJDK/JRE


Et surtout à passer à autre chose que cet abominable langage... Pour moi c'est devenu un critère de choix: j'ai dégagé Wuala pour SpiderOak, et plus généralement dès que j'ai besoin d'un logiciel en Java je cherche d'abord une alternative en autre chose. A ce propos, si quelqu'un connait une bonne alternative à Eclipse ça m'intéresse
muuiwndii offline Hors ligne Héroïque avatar 962 points
Le #1167372
Vive adblock
A mort la pub
Le web restera gratuit avec ou sans vous...
Sans vous, il sera un peu moins un "minitel 2.0" pour reprendre le terme de Benjamin Bayard
icone Suivre les commentaires
Poster un commentaire