Java refait parler de lui avec la découverte d'une vulnérabilité de type zero day qui affecte toutes les versions (du 7.10 aux antérieures) des plug-in pour navigateurs. Plus grave, cette faille est déjà exploitée dans les kits d'attaques les plus connus, selon les spécialistes de la sécurité. Blackhole, Cool, Nuclear et plus récemment Metasploit sont cités par les experts. HD Moore, responsable de la sécurité chez Rapid7, a déclaré que les exploits infectent déjà des sites web pour affecter ensuite les ordinateurs avec des logiciels malveillants. L'ensemble des ordinateurs exécutant du Java dans les navigateurs sous Windows, Mac OS X ou Linux, est touché.
Un chercheur français nommé @Kafeine a alerté sur cette faille hier. Il précise « cela pourrait être le chaos ». Une société spécialisée en sécurité, AlienVault, a été en mesure de reproduire l'attaque via la faille en installant la dernière version de Java. Pour Jaime Blasco, chercheur chez AlienVault « après une analyse rapide, l'attaque arrive à contourner certains contrôles de sécurité donnant des autorisations sur certaines classes ». Un mécanisme de contournement similaire a été utilisé dans une faille corrigée, identifiée CVE-2012-4681 dans la National Vulnerability Database
« A l'heure actuelle, la seule façon de protéger sa machine contre ces menaces est de désactiver le plugin Java de votre navigateur. Il faut voir après en combien de temps Oracle va réagir et sortir un correctif », préconise Jaime Blasco. D'autres sont plus radicaux en recommandant la désinstallation complète des plug-ins et d'attendre les versions corrigées. Interrogé par nos confrères d'IDG NS, Oracle n'a pas répondu à la demande de commentaires.
Alerte sur une faille zero day dans Java
Avec la découverte d'une faille zero day dans les plug in Java pour navigateurs, les experts en sécurité appellent les utilisateurs à désactiver ou à désinstaller ces modules, en attendant la réponse d'Oracle.