Pour gérer vos consentements :
Categories: Sécurité

La faille Java zero day exploitée

C’était à prévoir. Moins d’une semaine après la sa découverte, la faille critique zero day qui affecte Java est aujourd’hui exploitée. Roger Thompson, directeur technique de l’éditeur de sécurité AVG, rapporte dans son blog que la faille est exploitée par un serveur installé en Russie.

Selon le responsable, les hackers auraient compromis un site de paroles de chansons populaires telles que celles de Rihanna, Usher, Lady Gaga et Miley Cyrus. « Qui aurait cru que Miley pourrait être dangereux? », s’interroge ironiquement Roger Thompson. Ce n’est évidemment pas la chanteuse qui est dangereuse mais le fait de consulter les contenus s’y rapportant depuis le site en question qui s’avère être Songlyrics.com (bien que le responsable ne le site pas). Les visiteurs sont alors détournés vers le serveur pirates et rapidement assaillis de logiciels espions.

Comme révélé par Tavis Ormandy, ingénieur sécurité chez Google, la faille affecte toutes les versions de l’application depuis Java 6 Update 10. Version qui délivre le contrôle Active X Java Deployment Toolkit. Lequel simplifie pour les développeurs la distribution de leurs applications… dont on peut constater le résultat aujourd’hui. Seuls les systèmes Windows en sont affectés avec Internet Explorer comme Firefox (du moins si Java est installé). La question reste en suspens pour Chrome, Opera et Safari.

Et il y a fort à parier que les exemples d’exploitation de la vulnérabilité Java se multiplient rapidement. « Le code impliqué est vraiment simple et facile à copier », note Roger Thompson. Voilà qui poussera peut-être Oracle (désormais propriétaire de Java depuis l’acquisition de Sun Microsystems) à corriger le tir. Ce qui n’est pas gagné tant la stratégie de l’éditeur en matière de sécurité semble figée autour d’un correctif unique trimestriel. En attendant, le seul moyen de se protéger reste de désinstaller Java de Windows… ou d’utiliser AVG Linkscanner, s’empresse de préciser le directeur technique. L’application vise à protéger les internautes des menaces du Web en signalant les liens qui pointent vers des pages potentiellement dangereuses. Bref, sortez couverts.

Mise à jour (16 avril 2010): Oracle patche Java en urgence

Recent Posts

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

2 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

4 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

21 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

23 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago