La entreprise de sécurité polonaise “Security Explorations” vient de lancer une alerte concernant deux nouvelles vulnérabilités zero-day dans Java, en fournissant le PoC (Proof of Concept) à Oracle.
L’équipe de sécurité d’Oracle étudie actuellement la question, mais les failles reportées n’ont pas encore été confirmées par Oracle. Moins d’une semaine après qu’Oracle ait publié son dernier correctif de Java (une mise à jour critique), le chercheur et chef de la société Security Explorations, Adam Gowdiak a trouvé deux problèmes de sécurité inconnus qui affectent Java 7.
Les experts en sécurité conseillent généralement aux utilisateurs de désactiver le plugin Java du navigateur Web, car ce dernier a été exploité à maintes reprises au cours des dernières attaques ciblées, notamment envers Facebook, Apple et Microsoft.
Java est confronté à un nombre croissant de vulnérabilités zero-day, des bugs qui sont exploitées par les criminels avant que ces défauts ne soient corrigés, ni même connus par le vendeur.
Gowdiak a confirmé que ces nouvelles vulnérabilités peuvent être combinées pour contourner la technologie “anti-exploit sandbox” mise en place par Java et utilisées pour attaquer des machines dont les navigateurs ont le plug-in Java installé.
Ca devient une maladie chez Oracle! C’est bientôt tout les 3 jours! On a des applications métiers développées sous Java, on peut pas upgrader un parc tous les 3 jours!
Les commentaires sont fermés.