Java : nouvelle vulnérabilité dans les airs, les précédentes toujours exploitées

le 26 février 2013 à 09:24
 0
En dépit des nombreuses rustines appliquées par Oracle à Java, son environnement d'exécution recèlerait toujours des vulnérabilités critiques. Les récentes intrusions constatées chez Apple, Facebook ou Microsoft, illustrent par ailleurs la nécessité de procéder sans délai à l'installation des dernières mises à jour du logiciel.

00B4000003941372-photo-java-logo.jpg
Java une nouvelle fois dans la tourmente ? Les chercheurs en sécurité de la firme polonaise spécialisée Security Explorations ont indiqué lundi avoir découvert deux nouvelles failles au sein d'une version à jour de Java SE 7. Ils affirment avoir communiqué les modalités d'exploitation de ces vulnérabilités à Oracle. L'éditeur a accusé réception, mais n'a pour l'instant pas commenté la portée de leurs travaux. Selon ces chercheurs, l'utilisation combinée de ces deux failles permettraient de complètement contourner le système de bac à sable (sandbox) de Java et donc de faire remonter du code malveillant au sein de la machine ciblée.

Les détails techniques n'ont pour l'instant pas été révélés, afin d'éviter que ces failles ne soient exploitées. « Elles permettent de détourner l'API Reflection d'une façon particulièrement intéressante », indique tout de même Adam Gowdiak, p-dg de Security Explorations, auprès du site Softpedia. Cette interface de programmation permet à un code Java de demander la modification de certains des paramètres de son environnement d'exécution. « Sans entrer plus avant dans les détails, tout indique que la balle est désormais dans le camp d'Oracle. Encore. », commente l'intéressé.

Le cycle de mise à jour d'Oracle prévoit normalement que la prochaine fournée de correctifs dédiés à Java soit mise en ligne le 16 avril prochain. L'éditeur pourrait toutefois décider d'anticiper la distribution d'une rustine si cette vulnérabilité était confirmée.

En attendant, les intrusions dont Microsoft, Apple et Facebook ont tous confirmé avoir été victimes découleraient bien de l'exploitation des vulnérabilités précédemment découvertes dans Java. Celles-ci font d'ailleurs l'objet de nouveaux procédés d'exploitation, dont l'un a encore été documenté lundi.

De nouvelles informations ont par ailleurs fait surface quant à la façon dont des postes informatiques ont pu être infectés à la fois chez Apple, Microsoft et Facebook. D'après Arstechnica, qui reprend une hypothèse précédemment défendue par RSA Security, les auteurs de l'attaque auraient en réalité commencé par infecter un forum Web fréquenté par des développeurs travaillant sous Mac (iphonedevdsk.com, qu'il vaut mieux ne pas visiter sur une machine munie d'une version non à jour de Java...), selon la tactique dite du waterhole. Plutôt que de s'en prendre directement à une cible donnée, l'idée consiste ici à distribuer l'infection à partir d'un point d'intérêt susceptible d'attirer les publics chez qui l'on souhaite s'introduire.

Sur Windows comme sur Mac, les internautes qui disposent d'une installation de la machine Java sur leur machine ont en tous les cas intérêt à vérifier plutôt deux fois qu'une que les composants sont à jour (les derniers correctifs datent du 19 février), voire à la désinstaller s'ils n'en ont pas un besoin immédiat.
Modifié le 01/06/2018 à 15h36
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Apple tenait hier un événement à Cupertino dévolu en grande partie à l’annonce de son service de SVoD. Parallèlement à la présentation de l’Apple TV+, qui devrait commencer à concurrencer Netflix cet automne, Apple a renommé son boîtier Apple TV entrée de gamme, qui profite lui aussi de cette dénomination un brin galvaudée.
20:07 | Boitier TV
Après plusieurs bêtas, Apple livre la version 12.2 de son système d’exploitation mobile. Sans bouleverser les habitudes de ses utilisateurs, cette mise à jour apporte quelques nouveautés d’interface bienvenues.
19:33 | iOS
Dans le cadre de l'événement >, qui aura lieu à Amsterdam le 2 avril prochain, Ford va dévoiler la nouvelle génération de véhicules hybrides, dont les nouvelles Fiesta et Focus EcoBoost Hybrid (mHEV).
Le groupe de médias reproche au site d’avoir partagé des astuces permettant de contourner le blocage des chaines Altice si jamais elles venaient à disparaitre du bouquet TV Free.
18:40 | Free
C’est un véritable manifeste que Larry Sanger s’est attaché à rédiger en début d’année. Publié sur son blog personnel, ce document liste les 17 mesures mise en oeuvre par le cofondateur de Wikipedia pour tenter de reprendre le contrôle de sa vie numérique. Un peu passé sous les radars, ce billet méritait bien que Clubic l’épluche pour en extraire la substantifique moelle. Sans grande surprise, les GAFAM en prennent pour leur grade.
L’Union européenne vient de mettre fin à la menace d’exclusion de l’équipementier chinois des réseaux 5G de la zone, mais prône sa surveillance.
17:51 | Huawei
Les nouveaux fleurons de Huawei sont à la fête aujourd’hui. Après une présentation officielle très alléchante, les plus impatients peuvent précommander dès maintenant les P30 et P30 Pro !
17:40 | Bon plan
Le président de Microsoft souhaite que les différents acteurs de la tech travaillent sur des outils de modération communs afin d’éviter la diffusion en direct de tueries de masse, comme récemment en Nouvelle-Zélande.
17:16 | Internet
Bethesda Softworks vient d'annoncer une nouvelle qui ravira les joueurs PC. En effet, les prochains titres de l'éditeur débarqueront également sur Steam à leur sortie en plus de Bethesda.net. Un des jeux majeurs de la firme, disponible depuis l'année dernière, aura également droit à un traitement similaire.
16:43 | Jeux vidéo
C’est Porte de Versailles, à Paris, que Huawei a aujourd’hui posé ses valises afin de présenter ses P30 et P30 Pro. Deux smartphones taillés pour la photographie, qui promettent monts et merveilles en matière de zoom... et sans perte de qualité.
Pewdiepie, ex plus gros YouTuber au monde, s’est récemment fait dépasser au jeu des abonnements par le label musical indien T-Series. Pour lui venir en aide, et lui permettre de regagner sa place de numéro un, des fans du vidéaste suédois ont eu recours à des Ransomwares pour le moins… inhabituels.
16:08 | Malware
C'est fait : le Parlement européen vient de statuer en faveur de la réforme sur le droit d’auteur, après deux ans d’âpres discussions et plusieurs révisions du texte.
Le Sony Xperia 1, héritier du Xperia ZX3, disposera d'un affichage 4K constant... ce qui risque (selon certains) de flinguer l'autonomie.
15:01 | Smartphone
Un an après sa sortie, le P20 Pro de Huawei trône toujours en haut du classement DxOMark, au coté de son petit frère le Mate 20 Pro. C'est dire que le savoir faire du constructeur en matière de photographie mobile est indéniable. Alors quand celui-ci nous a proposé de venir prendre en main son successeur, le bien nommé P30 Pro, nous avons sauté sur l'occasion pour vérifier si Huawei était capable de se surpasser. On vous raconte tout ça dans notre prise en main !
scroll top