Il n'y a donc plus de doute, les Mac sont sous la menace d'une dangereuse faille présente dans Java 7. C'est ce qu'ont confirmé hier plusieurs experts en sécurité après avoir été en mesure de montrer la dangerosité de la vulnérabilité avec le framework Metasploit framework. David Maynor, CTO de Errata Security, a ainsi confirmé que l'exploitation de la faille, moins de 24 heures après qu'elle ait été trouvée, était possible contre Java 7 installé sur OS X Mountain Lion. « Cela peut se produire sous OS X si vous utilisez le JRE 1.7 (Java Runtime Environment) », a déclaré le spécialiste dans l'un de ses billets de blog.Â
JRE 1.7 inclut la version la plus actuelle de Java 7, Update 6, qui a été publiée ce mois-ci. David Maynor a expliqué qu'il avait pu déclencher la vulnérabilité avec le code Metasploit, à la fois dans Firefox 14 et Safari 6 sur OS X 10.8. Même si les « exploits » qui circulent actuellement ont uniquement visé les utilisateurs de Windows, il est possible que les Mac puissent devenir une nouvelle cible. « Ce qui est plus inquiétant, c'est la forte probabilité pour que cette faille soit utilisée par les développeurs de logiciels malveillants dans un avenir proche afin de s'en prendre aux Mac », a déclaré Intego, fournisseur d'antivirus pour Mac, sur son blog. « Les applets Java ont fait partie du processus d'installation pour presque toutes les attaques de logiciels malveillants sur OS X cette année ».
Les utilisateurs de Leopard et Snow Leopard particulièrement vulnérables
La plus grande campagne de malwares visant des Mac à ce jour, Flashback, avait également impliqué Java. Flashback exploitait un bug Java qui à l'époque n'avait pas été corrigé par Apple. Des centaines de milliers de Mac avaient alors été infectés à partir du mois d'avril 2012. Suite à cette attaque massive, Apple avait stoppé l'utilisation de Java sur ses OS à partir de  Lion. Une pratique maintenue sous Mountain Lion. Mais les utilisateurs peuvent toutefois avoir Java installé par l'intermédiaire de leurs navigateurs. Les utilisateurs sous Leopard ou Snow Leopard restent tout de même les plus vulnérables, Java étant fourni avec ces systèmes d'exploitation.
Tod Beardsley, l'un des principaux contributeurs sur Metasploit, considère la faille comme « très dangereuse ». Il note qu'il est « tout à fait possible pour les hackers de compromettre un Mac ou d'autres ordinateurs personnels », simplement en trompant les utilisateurs en accédant à un site Web malveillant ou précédemment piraté qui héberge le code. Tod Beardsley recommande donc aux utilisateurs de désactiver Java jusqu'à ce qu'Oracle livre un patch, des conseils approuvés par presque tous les experts de la sécurité. Apple continue à maintenir Java 6, mais c'est Oracle qui est responsable des correctifs pour Java 7. Or, la faille est bien dans Java 7.
En attendant, les possesseurs de Mac peuvent désactiver Java à partir de leurs navigateurs, ou supprimer le logiciel entièrement de leurs machines.
(Mise à jour) - Le 31 août 2012 : Oracle livre un patch critique pour Java 7