Java : Alerte maximale pour une vulnérabilité critique massivement exploitée

1
68

Alerte sécurité – Une nouvelle faille critique de type 0-day affecte Java. Toutes les versions de Java sont affectées par une grave vulnérabilité pas encore corrigée, sur laquelle se sont rués les pirates. Des experts recommandent de désactiver purement et simplement le plugin Java des navigateurs.

Mise à jour (14/01/2013) : Oracle vient de publier un patch correctif pour cette vulnérabilité. Retrouvez toutes les informations sur le site officiel.

Une nouvelle faille zero-day critique touche Java en ce début d’année 2013. Cela n’a pas traîné et fait amèrement penser aux dégâts causés l’année dernière par les multiples exploitations pirates des vulnérabilités du logiciel Java, distribué par Oracle. Le code exploitant la vulnérabilité du plugin Java des navigateurs a été ajouté à plusieurs kits d’exploitation pirates, des packs “tout-en-un” prêts à l’emploi diffusés dans les forums undergrounds et sites spécialisés mais bien connus des pirates.

C’est ce qui pousse Kasperksy à affirmer que” la distribution de l’exploit est massive“. L’éditeur d’antivirus explique avoir vu des publicités sur des sites légitimes, de météo ou d’actualité par exemple, redirigeant vers des domaines exploitant cette faille 0-day Java afin d’infecter les machines des internautes.

Java a un vrai problème, le système n’est pas sécurisé, explique ainsi Jaime Blasco, de l’éditeur AlienVault. Il faut absolument le désactiver“.

La vulnérabilité  critique, affecte toute les versions de Java, y compris la plus récente (Java 7.10). Cette toute dernière version dispose d’ailleurs d’une fonctionnalité permettant de facilement désactiver le plugin du navigateur depuis le panneau de configuration. Les experts recommandent d’utiliser cette méthode en attendant la correction définitive.

A noter que le département américain de la Sécurité intérieure a mis en garde jeudi contre cette faille, en appelant ses utilisateurs à cesser d’y avoir recours.

Oracle, le propriétaire de Java, n’a pas encore réagi. L’éditeur doit proposer ses mises à jour trimestrielles CPU (Critical Patch Update) le 15 janvier prochain. Java avait déjà été affecté par une série de failles de sécurité critiques l’an passé, dont la dernière découverte en août a obligé Oracle à proposer un patch début septembre sortant exceptionnellement de son strict calendrier de mises à jour…

Bref, il reste toujours très dangereux d’utiliser Java au sein de son navigateur Web. Avec toute cette mauvaise publicité, il semble même que Java ait pris de l’avance par rapport aux habituels bulletins d’alertes d’Adobe !

Les commentaires sont fermés.