Faille Java SE 5, 6 et 7 : Enjeux et Réalités en fin septembre 2012

Août et septembre 2012, semblent être les mois les plus dures en termes de sécurité et de la solidité des produits de Oracle, notamment Java .La succession de failles de sécurité dévoilées pour la plupart O-day ( pas déjà connu), fait penser à une grosse machine qui semble se planter. Ca peut arriver.

En effet en s’appuyant sur les recherches de Security Explorations, la vulnérabilité affecte les différentes versions de l’application (Java SE 5, 6 et 7). La faille se situe au niveau de la JVM (machine virtuelle java). Son exploitation permet  donc entre autres de contourner totalement la sandbox de Java.

Il se trouve donc que lors de tests sur un poste sous Windows 7 à jour, (possible également sous Linux et Mac), Security Explorations a exploité la vulnérabilité du plugin Java sur l’ensemble des dernières versions des navigateurs Internet ( Firefox, Chrome, Opera, Safari, Internet explorer …)

Concrètement, la faille permet à un malveillant via à un appel Java d’installer un programme sur un poste vulnérable, le lire ou modifier des données en utilisant les droits de l’utilisateur sur le système. En attendant le correctif pour mi- octobre peut être, il est recommandé de désactiver, ou désinstaller, le plugin Java.