Toujours des failles béantes dans Java 7 u11 - Actualités CSO Alerte

Toujours des failles béantes dans Java 7 u11

le 21/01/2013, par Jean Elyan avec IDG News Service, Alerte, 440 mots

Toujours des failles béantes dans Java 7 u11

Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la 7 Update 11, est également vulnérable à des attaques de contournement de bac à sable.

Des chercheurs de l'entreprise de sécurité polonaise Security Explorations affirment avoir identifié deux nouvelles vulnérabilités dans l'Update 11 de Java 7 livré en urgence le 13 janvier dernier par Oracle. Il s'agissait de contrer un exploit zero-day mis à profit par les cybercriminels pour infecter les ordinateurs avec des logiciels malveillants. Selon les chercheurs de Security Explorations, les deux vulnérabilités découvertes sont susceptibles d'être exploitées pour contourner la sandbox du logiciel et exécuter du code arbitraire sur les ordinateurs.

Dans un message envoyé vendredi à la liste de diffusion Full Disclosure, Adam Gowdiak, le fondateur de Security Explorations a confirmé que « le contournement de la sandbox était toujours possible sous Java 7 Update 11 (JRE Version 1.7.0_11-b21) en exploitant deux nouvelles vulnérabilités découvertes par les chercheurs de l'entreprise de sécurité ». Oracle a été informé dès vendredi de l'existence de ces vulnérabilités. « Security Explorations a fourni à l'éditeur le code fonctionnel proof-of-concept », a précisé le fondateur de l'entreprise polonaise. Celui-ci a ajouté que, « conformément à la politique de Security Explorations, les détails techniques sur les vulnérabilités ne seront pas divulgués tant que le fournisseur n'aura pas livré de correctif ».

Deux nouvelles vulnérabilités dans Java 7 u11 

Des chercheurs de l'entreprise de sécurité Immunity, qui avaient analysé l'exploit utilisé depuis la semaine dernière par les cybercriminels, ont indiqué que celui-ci s'appuyait également sur deux autres vulnérabilités pour échapper à la sandbox de Java. Par la suite, ces mêmes chercheurs ont déclaré que l'Update 11 de Java 7 ne corrigeait qu'une de ces deux vulnérabilités et ont prévenu que si les attaquants trouvaient une autre vulnérabilité, ils pourraient créer un nouvel exploit. Mais « les vulnérabilités découvertes par Security Explorations sont différentes de celles qu'Oracle a omis de corriger dans son dernier patch », a encore déclaré Adam Gowdiak par courriel vendredi.

Certains chercheurs en sécurité, dont ceux de l'US Computer Emergency Readiness Team (US-CERT), estiment que des attaques similaires pourraient encore avoir lieu et conseillent toujours aux utilisateurs de désactiver le plug-in Java dans leur navigateur malgré la disponibilité de l'Update 11 de Java 7. « La qualité du code de Java SE 7 est vraiment une source d'inquiétude », a déclaré Adam Gowdiak. «  On se demande si Java bénéficie d'un véritable programme de développement sécurisé ou si d'autres problèmes internes à Oracle sont à l'origine de ces déficiences », a-t-il ajouté.

« Cela dit, le fait que l'Update 11 de Java 7 demande confirmation à l'utilisateur avant d'autoriser l'exécution des applets Java dans les navigateurs va certainement dans la bonne direction et pourrait contribuer à bloquer de nombreuses attaques », a conclu Adam Gowdiak.

Toujours des failles béantes dans Java 7 u11

Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la 7 Update 11, est également vu

le 21/01/2013, par Jean Elyan avec IDG News Service, 440 mots

Une faille Java 0 day en vente 5 000 dollars

Quelques jours après avoir publié un correctif pour une faille zéro day dans les extensions Java découverte la sem

le 18/01/2013, par Jacques Cheminat avec IDG News Service, 241 mots

Attention à la fausse mise à jour Java corrompue

L'éditeur Trend Micro a repéré un morceau de logiciel malveillant qui se fait passer pour le dernier patch pour Java 

le 18/01/2013, par Serge Leblal avec IDG News Service, 430 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »