Branle-bas de combat. Les experts en sécurité informatique ne tergiversent pas et un consensus semble se dégager autour de la dangerosité d'une vulnérabilité de sécurité Java à exécution immédiate.
Elle touche la dernière version du plugin Java pour navigateur ( Java 7 Update 10 ) et les versions antérieures de Java 7. L'exploit 0-day a déjà été intégré dans des kits d'exploits vendus au marché noir et donc la possibilité pour les cybercriminels de distribuer des malwares.
Dans l'attente d'une mise à jour correctrice d'Oracle, il est conseillé aux utilisateurs de désactiver le plugin Java de leur navigateur. La procédure à suivre est par exemple explicitée dans cette note de G Data ( en français ). Un autre conseil est de ne pas installer Java quand ce n'est pas utile.
L'US-CERT a publié une note de vulnérabilité dans laquelle il indique que la vulnérabilité a été signalée par un dénommé Kafeine. Sur son blog, il donne un lien vers le code source de l'exploit. Alerté par @Keafine, Alienvault Labs confirme avoir reproduit et vérifié l'exploit 0-day.
