Java : encore une nouvelle faille critique1,1 milliard d’utilisateurs concernés par cette vulnérabilité de Java 5, 6 et 7
C’est à la société polonaise de recherche de vulnérabilités « Security Explorations » qu’on doit la malheureuse découverte d’une nouvelle faille critique dans la plateforme Java 7. Ses chercheurs ont détecté un bogue dans le correctif publié par Oracle le 30 août dernier (lire ci-avant).
Désormais aucun utilisateur des navigateurs Web, à savoir Chrome, Firefox, Opera, Safari ou Internet Explorer (dotés d'un plug-in Java activé) n’est à l’abri. En effet, cette faille peut entraîner une intrusion qui prendrait le contrôle complet sur une machine se connectant à un site Web malveillant. En guise de solution d'urgence, plusieurs experts recommandent la désactivation du plug-in.
Les chercheurs de Security Explorations ont déclaré à la presse que cette faille de sécurité autorise une attaque pouvant accéder à tout ordinateur, y compris les Macs d'Apple. Cette faille risque même d’affecter les anciennes versions de Java notamment Java 5 et Java 6, ce qui mettrait en péril un total de 1,1 milliard d’utilisateurs, chiffre déclaré dans le site officiel de Java.
Adam Gowdiak, fondateur et PDG de « Security Explorations » a déclaré, un brin moqueur, sur la liste de diffusion BugTraq : « Nous espérons que la nouvelle d'un milliard d'utilisateurs d'Oracle Java SE étant vulnérables à une nouvelle faille de sécurité ne va pas gâcher le goût du [café] matinal de Larry Ellison ».
Gowdiak explique que cette faille permet de violer une contrainte de sécurité fondamentale de la Machine virtuelle Java en rapport avec la sûreté du typage.
Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité de ses plug-ins. Que va-t-il se passer à présent ? Les utilisateurs sont-ils obligés d’attendre à chaque fois un rapport de vulnérabilités avant d’installer n'importe quelle version de Java ? Ou devront-ils abandonner Java pour de bon ?
Ambiance, ambiance en perspective pour la conférence imminente JavaOne 2012...
Rapport détaillé sur la faille Instructions pour désactiver Java de n'importe quel navigateur WebSources : Forbes, site officiel de Java
Vous avez lu gratuitement 771 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Freem
il va bien avec la vanne de Mr Gowdiak"