Java affecté par une faille critique zero day

Une vulnérabilité importante vient d’être découverte dans l’environnement d’exécution Java. Nous devons cette information à nos confrères d’InformationWeek.

Cette faille permet à une personne mal intentionnée de lancer du code sur la machine de l’utilisateur et ainsi d’en prendre le contrôle à distance. Elle touche toutes les versions Windows de Java depuis la 6 update 10. La vulnérabilité est également présente sous Linux, mais n’est pas encore exploitable. Notez que supprimer le greffon flash ne permettra pas d’éliminer ce problème qui touche Java Web Start.

Le principe de cette vulnérabilité est simple: lors du lancement d’un module via Java Web Start, il est possible d’ajouter des paramètres à la ligne de commande de javaws. Ceci permettra par exemple de charger du code malveillant, sans que l’utilisateur soit averti. Une démonstration d’exploitation de cette technique a été présentée ici (elle est sans risque).

Tavis Ormandy, qui a découvert cette faille, a averti Oracle, qui a jugé qu’elle n’était pas suffisamment grave pour justifier la sortie immédiate d’un correctif. La compagnie ayant comblé les failles de sécurité de Java il y a seulement quelques jours, il faudra donc attendre un trimestre complet avant que cette vulnérabilité ne soit supprimée. Dans l’intervalle, Tavis Ormandy donne quelques pistes permettant de sécuriser sa machine. Le plus simple reste toutefois de supprimer Java de votre PC, si vous le pouvez.