Le fondateur et PDG de Security Explorations en Pologne, Adam Gowdiak a rapporté une nouvelle faille de sécurité non corrigée au sein de Java, vulnérabilité qui affecte toutes les versions du logiciel, y compris la version 7 Update 21 publiée mardi dernier.
Gowdiak prétend avoir envoyé à Oracle un rapport sur ??une vulnérabilité de l’API de réflexion sur le serveur Java Runtime Environment récemment livré (JRE), les informant de la nouvelle faille de sécurité. “Elle peut être utilisée pour réaliser un contournement de la sandbox de sécurité de Java sur un système cible“, explique t-il.
La vulnérabilité permet à un attaquant de contourner complètement la sandbox mise en place pour accéder au système sous-jacent. Gowdiak n’a pas publié de plus amples informations sur la vulnérabilité, afin de donner le temps Oracle de corriger le problème.
Oracle a mis en ligne la semaine dernière un patch qui corrige de nombreux problèmes qui affligent la plate-forme. Java 7 Update 21 contient 42 nouveaux correctifs de sécurité pour Oracle Java SE. Une majorité de ces failles sont des vulnérabilités exploitées lors de la simple navigation sur un site piraté et infectés (via la technique du Drive-by Download, ndlr).
Selon Oracle, “39 de ces vulnérabilités peuvent être exploitées à distance sans authentification sur un réseau, sans avoir besoin d’un nom d’utilisateur ou d’un mot de passe“. Il a déjà rapporté des vulnérabilités dans l’API de réflexion il y a un an. Cette vulnérabilité est présente dans les versions serveur de l’environnement d’exécution Java, ainsi que dans le JRE et JDK plugin.