Les pirates n'auront pas attendu bien longtemps pour exploiter la faille zéro-day de Java 7. Selon plusieurs experts en sécurité, pas moins de 100 sites seraient déjà infectés. Pour cela, les pirates utilisent deux vulnérabilités découvertes récemment au sein du logiciel d'Oracle. Toujours pas corrigées à ce jour, ces failles zéro-day ont rapidement élargi leur portée en se répandant à une vitesse faramineuse. Mardi, la fondation Mozilla, éditrice du navigateur Firefox, conseillait à ses utilisateurs de désactiver la version actuelle du plug-in Java. La société s'est également déclarée prête à bloquer systématiquement l'extension au sein de son navigateur, bien que la décision n'ait pas encore été prise. L'ajout de l'exploit dans Blackhole avait été cité par Atif Mushtaq, chercheur chez FireEye. "Après avoir vu la fiabilité de cette attaque, je n'ai aucun doute que dans quelques heures, les victimes se compteront par milliers", avait déclaré ce dernier.
Plus de 100 domaines malveillants déjà répertoriésÂ
Aujourd'hui, Patrik Runald, directeur de recherche sur la sécurité de Websense, a affirmé que son équipe avait d'ores et déjà trouvé plus de 100 domaines uniques tirant parti de l'exploit Java à des fins malhonnêtes. "Le nombre ne cesse de croître et nous prévoyons que le nombre de sites compromis avec cette nouvelle faille zero-day continuera d'augmenter très rapidement dans les prochains jours", a déclaré P.Runald. Hier, Michael Coates, directeur de Mozilla Security Assurance, a quant à lui exhorté les utilisateurs de Firefox de désactiver le plug-in Java du navigateur. D'autres, dont l'US-CERT (United States Computer Emergency Readiness Team) ont donné le même conseil, allant même jusqu'à plébisciter la désinstallation totale de Java. Les développeurs de Firefox seraient même prêts à émettre un "ordre de mise à mort" du plug-in Java 7, d'après une discussion sur Bugzilla.
"Il est peu probable qu'Oracle prenne la décision d'émettre un patch de sécurité plus tôt que prévu. Leur mise à jour étant programmée pour octobre, cela laisse énormément de temps aux hackers pour profiter de la faille si l'on ne fait rien", a déclaré sur Bugzilla un ingénieur de sécurité chez Firefox. Pour l'heure, la prudence est donc de mise.
(Mise à jour) - Le 31 août 2012 : Oracle livre un patch critique pour Java 7