Faille Java : l'Update 7 proposée par Oracle est vulnérable

05 septembre 2012 à 11h42
0
Malgré la mise à jour de sécurité déployée par Oracle jeudi dernier pour sa plateforme Java 7, des chercheurs affirment que la faille n'a été comblée qu'en partie, mettant au jour une nouvelle vulnérabilité.

00C8000003941372-photo-java-logo.jpg
Proposée au téléchargement jeudi dernier, l'Update 7 de Java 7 censée corriger une vulnérabilité importante exploitée pour déployer un cheval de Troie est victime d'une nouvelle faille, selon l'éditeur de sécurité polonais Security Explorations. Celui-ci affirme avoir découvert une faiblesse permettant à des utilisateurs malveillants de contourner la zone de sécurité (« sandbox ») de Java.

D'autres chercheurs de l'institut de sécurité ICS ont découvert que des pirates pouvaient utiliser cette faille pour mener des campagnes d'hameçonnage d'utilisateurs Microsoft et Amazon. La technique consiste à usurper l'identité des sociétés pour recueillir des informations personnelles sur les usagers.

L'ICS indique avoir reçu plusieurs témoignages d'internautes ayant reçu un faux e-mail de Microsoft alertant sur une modification importante des conditions d'utilisation. Un lien censé rediriger la personne vers une page officielle du site de Microsoft renvoie en fait vers un Blackhole.

Selon le cycle de mise à jour d'Oracle tous les quatre mois, il ne faut pas s'attendre à un correctif complet avant le 16 octobre prochain. La société pourrait toutefois déroger à son calendrier comme elle l'a fait jeudi dernier. Security Explorations avait pourtant prévenu Oracle de cette faille 0-Day dès le mois d'avril.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page