La nouvelle sonne comme un coup dur : Oracle était au courant depuis le mois d'avril de l'existence de failles de sécurité au sein de Java 7. En effet, Adam Gowdiak, fondateur et PDG de la firme polonaise Security Explorations, affirme avoir fait état de 19 vulnérabilités dans Java 7 à Oracle dès avril dernier. Des vulnérabilités qui comprenaient les deux failles zéro-day - à ce jour non patchées - exploitées actuellement par les hackers.
La société d'Adam Gowdiak aurait continué d'alerter Oracle des vulnérabilités présentes dans Java 7 durant plusieurs mois jusqu'à en signaler pas moins de 29. Selon des chercheurs de la firme de sécurité Immunity, l'exploit Java publié en ligne cette semaine et intégré au Blackhole toolkit ferait appel à deux des failles signalées.
Il n'y aurait pas eu de fuites chez Oracle
Alors que ces deux vulnérabilités, l'une de type ClassFinder et l'autre de type MethodFinder, ont été retrouvées et rapportées par Security Explorations en avril, les exploits publiés cette semaine, bien que se servant des mêmes failles, n'utiliseraient pas le même procédé. Pour cette raison, le chercheur estime que l'exploit dont se servent les pirates serait probablement le fruit d'une autre personne indépendante qui aurait découvert elle-même les fameuses vulnérabilités, plutôt que le résultat d'une fuite d'information ayant fait suite à la publication du rapport de vulnérabilité. Cependant, selon M.Gowdiak, "rien ne peut être exclu avec certitude". Oracle n'a jusqu'à présent pas souhaité commenter ces informations.Â
(Mise à jour) - Le 31 août 2012 : Oracle livre un patch critique pour Java 7