L’utilisation de Java 6 est encore répandue, ce qui rend un nombre important d’utilisateurs vulnérables à la menace. L’analyste de F-Secure, Timo Hirvonen, a mis en garde au sujet de l’exploit sur ??Twitter, indiquant qu’il avait trouvé un exploit ciblant une vulnérabilité non corrigée dans Java 6, répondant au nom de CVE-2013-2463.
Le Proof-of-concept (PoC) de l’exploit a été rendu public la semaine dernière, avant que des attaques pirates soient repérées sur le Net lundi. Oracle est conscient de la brèche de sécurité mais, depuis que Java 6 n’est plus supporté, la société n’émettra pas de patch (d’où l’importance de rappeler qu’il est essentiel d’appliquer toutes les mises à jour logiciel disponibles).
La vulnérabilité réside dans le sous-composant 2D du Java Runtime Environment, qui est utilisé pour faire des graphiques en deux dimensions. Parce qu’aucun patch n’est disponible, les exploits fournissent aux cybercriminels un moyen efficace pour lancer des attaques ciblant les utilisateurs et les organisations qui utilisent encore Java 6. Parmi eux, le kit d’exploitation pirate Neutrino qui a été repéré au mois de mars 2013, a été identifié comme la source d’une série d’attaques qui exploitaient des vulnérabilités Java dans le but d’installer des ransomwares sur les PC des victimes, et ainsi les bloquer jusqu’à ce que les utilisateurs payent une amende (ou rançon, parfois en ce faisant passer pour des organismes tels que la Police ou le FBI).
L’impact de cette menace est moindre pour les internautes et organisations qui ont migré vers la dernière version du logiciel en raison des multiples problèmes de sécurité qu’il présente. Les autres utilisateurs doivent impérativement mettre à jour leurs installations Java à la dernière révision de la version 7, qui ne souffre pas de ce problème. Les utilisateurs qui n’ont pas besoin de Java dans leurs tâches quotidiennes sont encouragés à désinstaller complètement le logiciel de leur ordinateur.