Adam Gowdiak, expert sécurité chez Security Explorations met à nouveau le doigt sur la sécurité de Java. Non sans une pointe d'humour à l'attention de Larry Ellison, le patron d'Oracle, l'éditeur polonais indique avoir découvert une nouvelle faille dans Java SE 5 Update 22 (build 1.5.0_22-b03), Java SE 6 Update 35 (build 1.6.0_35-b10) et Java SE 7 Update 7 (build 1.7.0_07-b10).
L'éditeur précise qu'il est en mesure d'exploiter cette vulnérabilité et que cette dernière doit être classée comme critique. Cette faille permettrait ainsi de violer une contrainte de sécurité fondamentale de la machine virtuelle Java et donc de passer outre les mesures de sécurité l'environnement Sandbox.
Un internaute pourrait alors, lorsqu'il visite une page contenant du code malveillant, être infecté. L'éditeur tient à préciser que l'ensemble des navigateurs sont concernés. Il en dresse ainsi une liste exhaustive :
- Firefox 15.0.1
- Google Chrome 21.0.1180.89
- Internet Explorer 9.0.8112.16421 (update 9.0.10)
- Opera 12.02 (build 1578)
- Safari 5.1.7 (7534.57.2)
En attendant qu'un correctif soit apporté, certains experts recommandent une nouvelle fois de désactiver temporairement le module. Pour l'instant, la vulnérabilité ne semble pas avoir été exploitée, estime l'éditeur. En août dernier, suite à la découverte d'une faille similaire, des experts en sécurité du cabinet Fireye avaient, par contre, indiqué qu'une telle vulnérabilité présente dans Java 7 avait été exploitée. Cette dernière permettait alors de diffuser un cheval de Troie, une variante du malware baptisé Poison Ivy.