Oracle a sorti un correctif d'urgence pour réparer une faille Java qui peut être exploitée à distance sans authentification. Le bug plante le runtime Java lors de la conversion du nombre décimaal "2.2250738585072012e-308" en nombre binaire à virgule flottante, selon l'alerte diffusée par Oracle. Un problème qui a déjà affecté certains serveurs PHP.
L'attaque réussie de cette vulnérabilité peut résulter de la capacité à causer un blocage ou fréquemment un crash reproductible (complétant l'attaque Denial of Service) du runtime, a indiqué l'éditeur. Il a précisé que les applications et les serveurs web Java étaient particulièrement exposés à cette vulnérabilité. Un certain nombre de produits sont touchés par le virus, comme Java SE et Java for Business.
Des produits qui nécessitent davantage de rustines
Une liste complète vers les patchs recommandés de même que des liens ont a été publiés sur le site de l'éditeur. Oracle sort généralement des correctifs de sécurité pour tous les produits concernés chaque trimestre. Pourtant, dans ce cas-ci, l'éditeur a également mis au point des correctifs pour les bugs jugés trop graves qui ne permettent pas d'attendre la prochaine mise à jour. « Par le passé, alors qu'il y avait beaucoup moins de produits au catalogue d'Oracle, l'éditeur avait l'habitude de rectifier 100 failles à la fois sur sa base de données, a indiqué Amichai Shulman, CTO d'Imperva, une société spécialisée dans la sécurité des données dans un billet de blog. Il semble évident qu'un nombre plus important de produits réclame davantage de rustines. Et pourtant, nous voyons arriver des patches plus petits rassemblant moins de correctifs, alors qu'il y a plus de produits. »
Oracle sort un correctif en urgence pour réparer une faille Java
Selon une alerte publiée par l'éditeur, un bug planterait le runtime Java lors de la conversion de "2.2250738585072012e-308" en un nombre binaire à virgule flottante.