Oracle qui a publié un correctif de sécurité en fin de semaine dernière en réponse à des découvertes récentes de vulnérabilités zero-day qui a touché Java, dont la faille était considérée comme « extrêmement critique » par les experts en sécurité.
Si Security Explorations ont été les premiers à découvrir l’exploit en Avril dernier, Oracle n’a rien fait pour fixer le problème, et ce jusqu’à des pirates qui leur ont forcé la main…
Les chercheurs de Security Explorations ont indiqué qu’ils ont trouvé une nouvelle vulnérabilité dans la dernière version de Java qui a été publiée vendredi dernier. Cette découverte met en avant une vulnérabilité qui permettrait à des hackers d’échapper à la sandbox Java, autrement dit à la zone souvent utilisée pour exécuter du code non testé ou de provenance douteuse, et ainsi exécuter du code sur le système sous-jacent. Si ce problème semble assez critique, il n’y a aucune raison de s’inquiéter pour le moment.
Dans un e-mail aux CSO, le chef de la Direction de Security Explorations, Adam Gowdiak, indique que le patch Oracle a été efficace pour stopper les attaques précédemment utilisées qui infectaient les ordinateurs. Cependant, ce même patch publié en fin de semaine dernière a seulement pris soin de corriger la menace immédiate… La firme Security Explorations a déposé 29 vulnérabilités en Avril et seuls les problèmes les plus urgents ont été résolus à ce jour.
Le souci se présente sous la forme d’une nouvelle vulnérabilité qui a été récemment découverte. Gowdiak précise que les hackers pourraient combiner la nouvelle faille avec d’autres non corrigées dans le but de « parvenir à complètement se passer de la sandbox JVM ». C’est certainement un sujet de préoccupation, mais Security Explorations a déjà soumis un rapport à Oracle.
Pour l’instant, n’ayez crainte si vous avez installé le dernier patch proposé par Oracle pour Java. Il n’y a aucune indication que les hackers utilisent de nouvelles failles de Java pour s’introduire dans votre système. Si tout se passe comme prévu, ils n’auront pas accès à toutes ces failles jusqu’à ce qu’elles soient corrigées par Oracle ! À moins qu’un petit malin aille plus vite et sème la zizanie sur la toile…
Plus généralement, publier un système sur le Web est de nos jours complexe et susceptible d’être constamment piraté ?