La faille de sécurité zero day de Java exploitée

01 juin 2018 à 15h36
0
Des pirates russes seraient parvenus à exploiter la faille zero day présente dans Java Web Start, selon le directeur technique d'AVG Roger Thompson. La nouvelle fonctionnalité, disponible depuis la mise à jour d'avril 2008 de Java 6, a introduit une faille révélée par Tavis Ormandy la semaine dernière. Cet ingénieur sécurité chez Google en avait informé Sun, mais a publié le code depuis. Oracle / Sun avait en effet estimé que la faille n'était pas suffisamment importante pour justifier le chamboulement de son cycle de sorties de patchs.

Selon Roger Thompson, les pirates russes s'en sont pris à un site de paroles de chansons. L'attaque se serait déroulée lorsque l'internaute tentait de voir les paroles de Rihanna, Usher, Lady Gaga et Miley Cyrus. « Qui aurait cru que Miley pourrait être dangereux ? », plaisante-t-il sur son blog. La consultation de ce site, dont le nom n'a pas été donné par Thompson, mais qui serait Songlyrics.com, amène les visiteurs sur le serveur pirate, où ils subissent des attaques de logiciels malveillants. L'attaque concerne les ordinateurs sous Windows, avec Internet Explorer ou Firefox. Le cas de Chrome, Safari ou Opera est encore incertain.

« Le code en question est vraiment simple, et facile à copier. Il n'est donc pas étonnant que nous le découvrions cinq jours plus tard dans une attaque d'un serveur basé en Russie », a commenté Roger Thompson. Oracle n'a pas encore commenté.

Les équipes en charge de ce produit ont toutefois mis en ligne jeudi une nouvelle version du runtime Java, dont on suppose qu'elle corrige cette faille. Les notes de version n'en font toutefois pas état pour le moment.

01F4000003110870-photo-songlyrics.jpg
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Google Earth : New York modélisé en 3D
Windows XP part à la chasse aux rootkits
Les Majors du disque auraient surévalué les dégâts du téléchargement
Résultats : AMD reste dans le vert au 1er trimestre
Google : 1,955 milliard de dollars de bénéfices sur le trimestre
3D sur PS3 : d'abord les jeux, ensuite les films
L’Europe demande des comptes sur l’ACTA
Opera Mini pour iPhone téléchargé 1 million de fois, retours mitigés
Droit à l’oubli : le gouvernement veut faire mieux que la Cnil
Discrètement, Orange ouvre ses forfaits à la VoIP
Haut de page