Java : Oracle enchaine les failles

Rien ne va plus pour Java. Malgré une récente mise à jour, des failles critiques restent toujours présentes. Une rentrée difficile pour Oracle.

Fin août, Oracle corrigeait deux failles critiques dans Java 7. Malheureusement, la firme aurait oublié d’autres vulnérabilités exploitables par des pirates. Elle se voit donc contrainte, une nouvelle fois, de revoir sa copie.

L’éditeur polonais Security Explorations a en effet détecté deux failles critiques dans Java 7 Update 7, tout juste déployé jeudi dernier pour résorber à la hâte d’autres failles, dont l’une déjà jugée de la plus haute importance, explique ITespresso.fr.

Cette faiblesse mise en lumière est une porte ouverte à l’exécution de code arbitraire à distance, typiquement via des applets intégrés sur des pages web malveillantes.

Pis encore, une combinaison de facteurs indésirables permettrait aux assaillants de contourner le bac à sable de Java, cette zone d’exécution sécurisée au sein de laquelle le code est isolé et contrôlé.

Java 6 plus sûr que Java 7 ?

Par la voix de son CEO Adam Gowdiak, Security Explorations se veut formel : il n’est pas question de rendre publique le code permettant l’exploitation de ces failles logicielles.

Mais l’heure est au rappel à l’ordre à l’adresse d’Oracle, invité à déroger une nouvelle fois à son calendrier de mises à niveau quadrimestrielles pour panser en urgence les blessures de Java 7.

Et Security Explorations d’ajouter que, dans l’état, la sandbox de Java 6 serait plus sûre. Tout en concluant : « il vaut mieux désactiver la machine virtuelle si vous n’en avez pas besoin. »

Voir aussi
Quiz Silicon.fr – Êtes-vous un expert du « Hello world! » ?

Lire aussi : Logiciel : un modèle de licence Java qui peut coûter cher