Décidément les exploit Java ont la côte en ce moment ! Une fois de plus, un exploit “zero-day” concernant une vulnérabilité Java est vendu par des cybercriminels via l’underground. L’exploit permettrait de prendre le contrôle d’une machine à distance… Que fait Oracle ?
La nouvelle a été rapportée par le blog de KrebsOnSecurity qui a annoncé que l’exploit est vendu sur un forum underground spécialisé dans le piratage et le “blackmarket”. Ce dernier pourrait être vendu à près de 100.000 dollars !
La vulnérabilité est liée à la version la plus récente de Java : JRE 7, mise à jour 9, et n’est pas présente dans les versions précédentes du logiciel. Le bug résiderait dans la classe Java “MidiDevice” selon les informations fournies par le vendeur qu’il décrit de cette manière :
“L’exécution de code est très fiable, elle fonctionne sur tous les version 7. J’ai testé avec succès sous Firefox et MSIE, sur Windows 7. Je ne la vendrait qu’une seule fois et je ne donne aucune garantie qu’elle ne sera pas patchée sous peu.“
La classe exploitée est un composant de Java qui gère l’entrée et la sortie audio. Il est facile de comprendre que la vulnérabilité a une grande valeur en raison de la large diffusion de Java et de la possibilité qui en découle d’infecter plusieurs systèmes d’exploitation.
Il est de plus en plus fréquent qu’il y ait du marketing autour des exploits zero-day, étant donnée que dans de nombreux cas, les connaissances sur une vulnérabilité encore inconnue pourraient être vendues pour des centaines de milliers de dollars. A noter que le facteur temps est essentiel car que les informations doivent être vendues avant que les développeurs ne corrigent la vulnérabilité, la rendant de suite sans aucune valeur.
Cette fois-ci, le vendeur s’attend à un gain à “cinq chiffres”, et cela semble être en adéquation avec les prix réels du marché pour une vulnérabilité de ce genre.
Atténuer les attaques est très difficile pour Oracle, étant donné que le logiciel est installé sur 3 milliards d’appareils selon eux, Java JRE étant multiplateforme et qu’aujourd’hui un composant Java est souvent installé sur des sites web.
En attendant un patch, il est fortement recommandé de désactiver le plugin Java de ses navigateurs Web ! Espérons que cet exploit ne se retrouve pas entre de mauvaises mains, il pourrait être très dangereux !