Une mise à jour de sécurité Java publiée par Oracle en 2013 se révèle inefficace et la faille qui était censée être fixée peut de nouveau être exploitée selon les chercheurs de la firme de sécurité polonaise, Security Explorations. Une trentaine de mois s’est écoulée depuis la publication de la mise à jour par Oracle. Cependant, c’est aujourd’hui des milliers de serveurs et d’ordinateurs qui sont sous la menace d’une attaque en exploitant une faille vieille de plus de deux ans, avertissent les chercheurs. La faille en question avait été identifiée et sauvegardée sous le numéro CVE-2013-5838 dans la base de données recensant les vulnérabilités et failles de Java. La faille de sécurité avait été déclarée à l’époque comme étant très critique avec un score de 9,3 sur 10 suivant le système de notation des failles Common Vulnerability Scoring System, et pouvait être exploitée à distance sans authentification pour compromettre la confidentialité, l’intégrité et la disponibilité du système cible.Les chercheurs de la firme de sécurité Security Explorations avaient déclaré avoir implémenté un code illustrant l’impact de la mise à jour en question et l’avaient testé sous les environnements Java SE Update 97, Java SE 8 Update 74, et Java SE 9 Early Access Build 108. Sous les trois environnements, des failles de sécurité ont été mises en évidence. La mise à jour de sécurité peut être facilement contournée par une procédure décrite par la firme de sécurité. Oracle n’avait pas mesuré à sa juste valeur, la gravité de la vulnérabilité. En effet, Oracle affirmait que la faille pouvait être exploitée seulement via des applications Java Web Start et des applets Java. Or, il s’avère qu’elle peut l’être aussi sur des environnements serveur tels que Google App Engine pour Java, d’après Security Explorations.
La société de sécurité polonaise a, conformément à sa nouvelle politique, averti le public de la découverte d’une faille dans la mise à jour de 2013, sans préavis adressé à Oracle. En effet, Adam Gowdiak, PDG de Security Explorations, affirme que sa société ne « tolérera plus les failles dans des mises à jour de sécurité » et va en alerter le public immédiatement après les avoir découvertes, si ces failles concernent des vulnérabilités qui ont déjà été notifiées à l’entreprise concernée.
Source : seclists.org
Et vous ?
Que pensez-vous de cette faille découverte dans une mise à jour publiée par Oracle ?Voir aussi
le forum langage Java la rubrique Général Java (Cours, Tutoriels, FAQ, etc.) 
