Nouvelle faille critique pour Java : 1,1 milliard de machines sont concernées !

Adam Gowdiak, de Security Exploitations, vient de lever le voile sur une nouvelle faille critique Java. Cette dernière touche les moutures 5, 6 et 7 de Java SE, bref, la quasi-totalité des installations desktops de Java, c’est-à-dire 1,1 milliard de postes.

Évidemment, la société fait ici un gros coup de pub à la veille de la conférence JavaOne 2012, qui se tiendra la semaine prochaine. Il n’en reste pas moins que cette vulnérabilité est d’une extrême gravité. Elle serait en effet capable de passer outre le bac à sable (sandbox) intégré à Java.

Une voie royale pour les pirates, qui pourront alors prendre le contrôle de la machine des utilisateurs à distance. Pire, cette faille touche une des caractéristiques les plus centrales de Java, la « sécurité du type » (type safety). La correction du problème pourrait donc se révéler assez ardue.

Oracle doit se montrer plus réactif

Security Exploitations a transmis à Oracle une description technique de la faille détectée, ainsi que le code (binaire et source) de l’outil permettant de l’exploiter, et de passer à travers le bac à sable de Java.

Aucun autre détail n’a filtré pour le moment. Les pirates auront beaucoup de mal à produire leur propre ‘exploit’ avec le peu d’informations mis à leur disposition. Le danger n’est donc pas immédiat pour les utilisateurs, même si la prudence reste de mise.

Oracle devra toutefois réagir sans tarder, car l’exploit finira immanquablement par devenir public. Indirectement, Security Exploitations relance donc le débat sur les mises à jour de Java.

Oracle corrige en effet les failles critiques suivant un calendrier fixe, avec une fréquence de mise à jour plutôt faible. Pour Java SE, les trois prochaines dates sont le 16 octobre 2012, le 19 février 2013 et le 18 juin 2013 (source). Un calendrier bien trop favorable aux pirates.

Crédit photo : © Oracle

Voir aussi
Quiz Silicon.fr – Incollable sur les grands noms du monde IT ?