Oracle a publié une mise à jour de sécurité urgente pour corriger une vulnérabilité critique dans Java permettant à des attaquants de compromettre les ordinateurs d'internautes se rendant sur des sites web spécialement conçus pour les piéger. L'identifiant de cette vulnérabilité est CVE-2016-0636, suggérant qu'il s'agit d'une nouvelle mais cela n'est pas vraiment le cas. Dans un mail, la société de sécurité polonaise Security Explorations a confirmé que cette mise à jour patche une faille originellement rapportée à Oracle en 2013.
En début de mois, cette même société avait indiqué qu'un correctif publié par Oracle en octobre 2013 pour une vulnérabilité critique, portant l'identifiant CVE-2013-5838, s'était révélé inefficace et pouvait être contourné en changeant seulement 4 caractères de l'exploit original. Cela signifie que la vulnérabilité était toujours exploitable dans les dernières versions de Java. Or, dans son dernier bulletin, Oracle n'a fait aucune mention à l'ancienne faille trouvée par Security Explorations. Etrange renvoi d’ascenseur, non ?
L'update 77 pour Java SE 8 indispensable
Oracle recommande d'installer dès que possible cette nouvelle mise à jour Java, compte-tenu du degré de sévérité de la vulnérabilité et des détails techniques de contournement désormais rendus publics. Les utilisateurs de Java SE 8 sont prévenus d'installer l'update 77 (8u77), sachant que pour les possesseurs de Java 6 et 7, la mise à jour n'est proposée qu'en cas de support long terme, ces versions n'étant plus supportées.